Le 15 décembre dernier, la Commission européenne a présenté plusieurs textes fondamentaux. Next INpact a déjà mis en ligne une analyse détaillée et ligne par ligne du premier d’entre eux, le Digital Services Act. Nous poursuivons l’exercice avec cette fois le Digital Markets Act, future législation sur les marchés numériques.

« Ces nouvelles règles interdiront aux plateformes en ligne qui occupent, ou devraient occuper à l'avenir, une position de contrôleurs d'accès dans le marché unique, d'imposer des conditions inéquitables ». Voilà en quelques mots comment l’instance bruxelloise a résumé le « DMA ».

• Le Digital Markets Act (en anglais)

Cette proposition vise à encadrer les plateformes commerciales. C’est un règlement, comme le DSA ou le RGPD. Le texte s’appliquera uniformément à l’ensemble des États membres, sans exiger de loi de transposition comme le font les directives. La Commission a donc choisi le véhicule le plus ambitieux en la matière.

L’enjeu est de prévoir de nouvelles règles à l’encontre des « plateformes qui ont une forte incidence sur le marché intérieur, qui constituent un point d'accès important des entreprises utilisatrices pour toucher leur clientèle, et qui occupent ou occuperont dans un avenir prévisible une position solide et durable », dixit encore la Commission européenne. 

Et pour cause, estime l’instance, « en se livrant à des pratiques commerciales déloyales, un contrôleur d'accès peut empêcher les entreprises utilisatrices et ses concurrents de fournir aux consommateurs des services précieux et innovants, ou ralentir leurs efforts en ce sens ».

La Commission cite plusieurs exemples d’obligations, mais aussi d’interdictions, en préparation dans le DMA :

• « Dans certaines situations spécifiques, un contrôleur d'accès doit permettre aux tiers d'interagir avec ses propres services »
• « un contrôleur d'accès doit offrir aux entreprises qui font de la publicité sur sa plateforme un accès à ses outils de mesure de performance et aux informations nécessaires pour que les annonceurs et les éditeurs puissent effectuer leur propre vérification indépendante des publicités hébergées par le contrôleur d'accès »
• « un contrôleur d'accès doit autoriser les entreprises utilisatrices à promouvoir leur offre et à conclure des contrats avec leurs clients en dehors de sa plateforme »
• « un contrôleur d'accès doit fournir aux entreprises utilisatrices un accès aux données générées par leurs activités sur sa plateforme »
• « il est désormais interdit à un contrôleur d'accès d'empêcher les utilisateurs de désinstaller des logiciels ou des applications préinstallés »
• « un contrôleur d'accès ne peut utiliser les données provenant des entreprises utilisatrices pour concurrencer ces dernières »
• « un contrôleur d'accès ne peut empêcher ses utilisateurs d'accéder aux services qu'ils ont éventuellement acquis en dehors de sa plateforme. »

La parole va revenir au Parlement européen et aux États membres, comme le veut la procédure législative européenne. Un long chemin reste à parcourir avant la publication du texte au Journal officiel de l’Union européenne. En attendant, que prévoit la proposition de Digital Markets Act ? Quelles sont les plateformes concernées ? Que sont ces « contrôleurs d’accès » dont il est ici question ? Pour le savoir, plongeons-nous dans ses 39 articles, précédés de ses 79 considérants.

Chapitre 1 - Champ, objectif et définitions

Article 1 - Champ et objectif

L’enjeu du règlement est donc de programmer des règles harmonisées dans toute l’Europe à l’égard des plateformes gérées par les « contrôleurs d’accès ». Ces « gatekeepers » sont des « plateformes qui ont une forte incidence sur le marché intérieur, qui constituent un point d'accès important des entreprises utilisatrices pour toucher leur clientèle, et qui occupent ou occuperont dans un avenir prévisible une position bien ancrée et durable », explique la Commission.

Point crucial : les dispositions frappent les contrôleurs qui visent des utilisateurs professionnels établis dans l’Union, ou des utilisateurs finaux établis dans l’UE. Peu importe le propre lieu d’établissement du « gatekeeper ». Une telle règle de territorialité permettra d’imposer cette législation à l’ensemble des grandes plateformes, même à celles qui s’estimaient à l’abri parce que loin du Vieux contient. En bref, si un « gatekeeper » vise le marché européen, il est soumis à ces obligations.

Le champ « matériel » n’est cependant pas infini. Le texte épargne les réseaux de communications électroniques, les services de communications électroniques comme les services d’accès à Internet.

Toutefois, exception parmi les exceptions, les solutions de communications interpersonnelles (communication vocale, mail, services de messagerie, etc.) seront bien couvertes par le DMA. Un « gatekeeper » oeuvrant dans ce secteur sera donc soumis au règlement.

Le même document prévient que les États membres ne pourront imposer d’autres obligations que celles prévues par ses articles, sauf bien entendu s’ils poursuivent d’autres finalités comme la lutte contre les actes de concurrence déloyale ou la protection des consommateurs.

Article 2 - Les définitions

Comme pour le DSA ou le RGPD, ce volet est crucial : chacune de ces définitions vient tailler le périmètre du règlement en cours de gestation. Outre la notion de « contrôleurs d’accès » détaillée à l’article 3, une autre expression surgit. C’est celle de « services de plateforme essentiels », qui embrassera aussi bien les services d’intermédiation, que les moteurs, les réseaux sociaux, les services de partage de vidéo, les services de cloud, les services publicitaires, etc.

Chapitre 2 - Les contrôleurs d’accès (« gatekeepers »)

Article 3 - Désignation

Un fournisseur sera qualifié de « contrôleur d’accès » par la vérification de plusieurs conditions. Il devra :

• avoir un impact significatif sur le marché intérieur,
• exploiter un « service de plateforme essentiel » destiné à aider les professionnels à « atteindre » les utilisateurs finaux
• et enfin, jouir d’une position bien établie et durable aujourd’hui ou dans un proche avenir.

Ces critères, ainsi présentés, versent dans une certaine subjectivité. Heureusement, l’article 3 introduit une présomption, reposant sur des critères plus solides faits de seuils. Un fournisseur sera présumé « gatekeeper » si :

• L’entreprise réalise un chiffre d’affaires dans l’UE égal ou supérieur à 6,5 milliards d’euros au cours des trois derniers exercices, ou sa capitalisation boursière moyenne (ou sa juste valeur marchande) est d’au moins 6,5 milliards d’euros, toujours au cours des trois derniers exercices, alors qu’elle fournit une plateforme essentielle dans au moins trois États membres.
• Elle contrôle un service de plateforme essentiel comptant plus de 45 millions d'utilisateurs finaux européens actifs chaque mois et plus de 10 000 utilisateurs professionnels actifs par an, eux aussi établis dans l'Union.
• Enfin, lorsque les seuils exprimés au point b) ont été atteints au cours de chacun des trois derniers exercices

Dans une logique de responsabilité, il reviendra à chaque plateforme ayant franchi du pied l’ensemble de ces seuils de notifier dans les trois mois la Commission européenne. La méthodologie pour apprécier ces seuils quantitatifs sera définie par cette dernière. Des mises à jour au fil des évolutions du marché sont également programmées.

Bien entendu, une plateforme ne pourra se retrancher derrière un bête oubli. L’instance bruxelloise pourra toujours qualifier comme « gatekeepers », un acteur un peu tête en l’air. Nous y reviendrons.

Une fois la notification adressée par l’entreprise privée, la Commission aura 60 jours pour la labelliser « contrôleur d’accès ».

La présomption de l’article 3 est simple. Un acteur aura donc la possibilité de drainer des arguments pour expliquer qu’il n’a pas d’impact aussi significatif sur le marché, n’exploite pas service de plateforme si essentiel ou ne contrôle pas un point d'accès important des entreprises pour atteindre les consommateurs finaux.

Dans ce jeu de poids et mesures, la Commission pourra malgré tout qualifier de « gatekeeper » l’opérateur qui ne satisfait pas aux conditions de seuils, mais répond à ses yeux aux critères plus qualitatifs, aujourd’hui ou selon une évolution prévisible. Dans la procédure détaillée à l’article 15, la même Commission doit tenir compte de la taille, du nombre d’utilisateurs (pro ou finaux), des barrières à l’entrée, de celles résultant des effets de réseaux ainsi que les avantages liés à la collecte de données, à caractère personnel ou non, outre le verrouillage des utilisateurs et d’autres caractéristiques structurelles de ce marché. De même, une enquête pourra être ordonnée à l’égard des opérateurs qui indiquent ne pas satisfaire aux seuils quantitatifs.

Article 4 - Examen du statut des contrôleurs d’accès

Une fois prise, la décision sur le statut de contrôleur d’accès pourra toujours être revue et corrigée par la Commission. L’hypothèse ? En cas de changement substantiel dans l’un des faits en cause ou évidemment parce que la décision initiale était fondée sur des informations incomplètes, erronées, trompeuses. « Fraus omnia corrumpit ».

Inutile d’espérer passer sous les radars d’éventuelles statistiques de contrôle. La Commission sera tenue d’examiner « régulièrement », et au moins tous les deux ans si les contrôleurs désignés répondent toujours aux critères d’éligibilité, ou si de nouveaux acteurs tombent dans le panier.

Ajoutons que la liste des contrôleurs d'accès et celle des services de plateforme essentiels seront publiées et mise à jour en permanence.

Chapitre 3 - Pratiques des contrôleurs d’accès qui limitent la « contestabilité » ou sont déloyales

Article 5 - Les obligations pesant sur les contrôleurs d’accès

C’est l’une des dispositions majeures du DMA puisqu’elle dresse la liste des obligations afférentes à ce statut.

Pour chacune des plateformes concernées, le « gatekeeper » devra par s’abstenir de combiner les données personnelles entre ses services ou avec des données à caractère personnelles provenant de services tiers, sauf si l’utilisateur a donné son consentement éclairé (donc pas de case précochée et obligation d’information)

Le texte « casse » la dépendance des utilisateurs professionnels avec ces plateformes. Ils pourront ainsi toujours proposer des produits et services à des prix ou des conditions différences de ceux proposés par le service en ligne du gatekeeper. « Un contrôleur d'accès doit autoriser les entreprises utilisatrices à promouvoir leur offre et à conclure des contrats avec leurs clients en dehors de sa plateforme », résume encore la Commission européenne.

Dans la longue liste, le gardien d’accès devra tout autant s'abstenir d’imposer des restrictions aux utilisateurs professionnels pour les empêcher de soulever des difficultés auprès des autorités publiques compétentes.

En somme, les vieilles astuces contractuelles qui venaient enfermer les utilisateurs « pro » sont fauchées.

Article 6 - Obligations des contrôleurs d’accès susceptibles d’être précisées ou spécifiées

La pratique visée par l’article 6 a déjà été reprochée à Amazon dans une « communication des griefs ».

La Commission soupçonne la plateforme « d'utiliser systématiquement les données commerciales non publiques des vendeurs indépendants actifs sur sa place de marché au bénéfice de sa propre activité de vente au détail, qui est en concurrence directe avec celle de ces vendeurs tiers ».

En clair, elle craint qu’Amazon puise des données de première main sur le dos des entreprises utilisant sa marketplace pour placer ensuite ses propres produits dans les rayonnages les plus populaires ou attractifs.

Avec le DMA, les plateformes se voient interdire pour leur faire concurrence d’utiliser les données non accessibles au public générées par les utilisateurs professionnels. Même idée, elles devront s'abstenir de traiter plus favorablement dans les différents classements disponibles, leurs services et produits. En définitive, voilà des manières trop faciles d’écraser une concurrence totalement démunie.

Même idée, les gatekeepers ne pourront « empêcher les consommateurs d’accéder aux services d’entreprises en dehors de leurs plateformes » explique la commission. L’article 6 prévient en effet que ces utilisateurs pourront toujours installer et utiliser des applications tiers interopérant avec le système d’exploitation du contrôleur. Des conséquences potentiellement lourdes pour des acteurs comme les « stores » des fabricants.

De même, les consommateurs devront pouvoir désinstaller les logiciels ou les applications préinstallés s'ils le souhaitent, sauf évidemment ceux essentiels au fonctionnement du système d'exploitation et qui ne peuvent techniquement être proposé par des tiers.

Miroir au RGPD, le point h) de l’article 6 les obligera à assurer une portabilité efficace des données générées par l'activité de chaque utilisateur.

D’autres dispositions concernent spécifiquement les moteurs de recherche tiers et les conditions d’accès aux données de classement.

Article 7 - Respect des obligations des contrôleurs

Cet article établit un cadre de régulation. Si la Commission constate que le résultat n’y est pas, elle pourra préciser dans les six mois, les mesures concrètes que l’opérateur devra mettre en place. Des conclusions préliminaires lui sont adressées dans les trois mois.

Article 8 - Suspension

Dans des circonstances exceptionnelles, il sera possible de suspendre des obligations pesant sur les épaules des plateformes au titre des articles 5 et 6 précités. Il faudra toutefois que l’opérateur démontre solidement que la mise en conformité risque de lui être fatale économiquement. Autre chose, les circonstances de ce risque devront être indépendantes de la volonté du gatekeeper. Mesure prévue pour éviter des entourloupes un peu trop faciles.

La décision de la Commission devra intervenir sans délai ou dans les trois mois maximum. Elle sera ensuite régulièrement réexaminée, sachant que la suspension pourra être aménagée. Ici, Bruxelles pourra accompagner cette suspension d’autres conditions destinées à tenir compte des intérêts des tiers. Un bel exercice de mise en balance, là encore.

Article 9 - Exemption pour raisons impérieuses

Même logique, mais cette fois motivée par des questions de moralité publique, de santé publique ou de sécurité publique.

Article 10 - Obligation de mise à jour des contrôleurs d’accès

La Commission européenne se voit investie du pouvoir de prendre des « actes délégués », à savoir des actes relevant en principe du pouvoir législatif européen. Elle pourra revoir les obligations inscrites aux articles 5 et 6, lorsqu’une enquête de marché conclura à cette nécessité. Pour cela, elle devra démontrer l’existence de pratiques qui viennent raboter la « contestabilité » des marchés concernés, ou bien constater un déséquilibre entre les acteurs.

Article 11 - Anticontournement

Toujours dans la logique de responsabilité, le gatekeeper sera contraint de veiller à ce que les obligations des articles 5 et 6 soient pleinement respectées pour chacun de ses services de plateformes.

Pas d’astuce contractuelle, commerciale, technique ou de toute autre nature. De même, un gatekeeper ne pourra dégrader un service pour les utilisateurs qui se prévaudraient des articles 5 et 6. Même froid, la vengeance n’est pas un plat au goût de la Commission.

Article 12 - Obligation d’information sur les concentrations

Est introduite cette fois une obligation de notification générale pour tous les contrôleurs d’accès qui envisagerait une concentration avec un autre service de plateforme. La notification devra indiquer le chiffre d’affaires UE et monde, le nombre d’utilisateurs (pro et finaux) outre les motifs de cette opération. Les acteurs concernés devront indiquer également s’ils vont dépasser les seuils de l’article 3, pour fournir ensuite le train d’informations imposé par le DMA.

Article 13 - Obligation d’audit

Six mois après sa désignation, un contrôle d’accès devra fournir un audit à la Commission, réalisé par une entité indépendante. Le document définira au passage toutes les techniques de profilage des consommateurs utilisées, et mettre à jour ces informations au moins une fois par an.

Chapitre 4 - L’étude de marché

Article 14 - Ouverture de l’étude de marché

La disposition est essentiellement procédurale et encadre la marche à suivre lors de l’ouverture d’une telle enquête décrite dans les articles suivants. Une telle décision prise par la Commission doit détailler la date, la description du problème et son objectif. L’instance peut rouvrir une telle enquête en cas de changement important ou de première décision fondée sur des informations incomplètes, incorrectes ou trompeuses fournies par les entreprises concernées.

Article 15 - L’enquête visant la désignation des contrôleurs

Comme exposé à l’article 3, il revient aux contrôleurs de se désigner auprès de la Commission comme « contrôleur d’accès ». Si la démarche est oubliée, celle-ci a la possibilité de mener une enquête pour déterminer s’ils doivent ou non être désignés comme tels. La procédure doit durer 12 mois, avec l’envoi de conclusions préliminaires dans ce laps de temps.

Article 16 - Enquête de marché sur la non-conformité systématique

L’hypothèse ici est celle d’un contrôleur d’accès qui aurait systématiquement enfreint ses obligations (articles 5 et 6) tout en ayant encore renforcé sa position.

La Commission a dans ce cas la possibilité de lui imposer dans un délai de 12 mois, des mesures correctives comportementales ou structurelles en rapport avec cette infraction.

L’article introduit même une présomption de non-respect systématique, lorsque le contrôleur a été visé par trois décisions de non-conformité ou d’amende dans les cinq dernières années. Autre présomption, le contrôler sera réputé avoir augmenté sa position lorsque son impact sur le marché ou son rôle de passerelle s’est encore accru.

Article 17 - Enquête de marché sur les nouveaux services et les nouvelles pratiques

Même logique avec l’objectif de vérifier cette fois si des services du secteur numérique doivent finalement être ajoutés à la liste des services de plateforme essentiels ou détecter des nouvelles pratiques déloyales.
Pour l’occasion, la Commission pourra donc enrichir les articles 5 ou 6 via son pouvoir d’acte délégué.

Chapitre 5 - Pouvoirs d’enquête, exécution et surveillance

Article 18 - Ouverture de la procédure

L’article impose une décision formelle consacrant l’intention de la Commission de mener une telle procédure.

Article 19 - Demandes d’informations

La Commission peut exiger communication des informations utiles aux entreprises et groupe d’entreprises. Elle peut solliciter l’accès aux bases de données, mais aussi aux algorithmes et même réclamer des explications sur leur fonctionnement.

Ces demandes peuvent être contestées devant la Cour de justice de l’Union européenne.

Article 20 - Pourvoir de mener des auditions et recueillir des déclarations

Toujours dans son pouvoir d’enquête, la Commission européenne se voit investie du pouvoir d’interroger toute personne physique ou morale, à condition que celle-ci y consente.

Article 21 - Pouvoir de mener des inspections sur place

Comme dans le DSA, elle peut mener ces contrôles dans les locaux, au besoin avec l’aide d’auditeurs ou d’experts. L’entreprise visitée peut là aussi se voir tenue de fournir des explications, notamment sur ses algorithmes et ses pratiques commerciales. Ces mesures sont obligatoires, mais les personnes rencontrées seront alertées préalablement de cette visite, par une lettre détaillant l’objet et le but de l’inspection.

Article 22 - Mesures provisoires

Les procédures se déroulent durant de longs mois. En cas d’ « incendie », le texte envisage néanmoins la possibilité d’imposer des mesures d’urgence et provisoires. La Commission devra toutefois vérifier l’existence d’un risque préjudiciel grave et irréparable pour les utilisateurs (qu’ils soient professionnels ou finaux).

Article 23 - Engagements

Là aussi, comme pour le DSA, un contrôleur d’accès peut prendre des engagements destinés à respecter les obligations prévues aux articles 5 et 6. Mais la confiance n’excluant pas le contrôle, la Commission pourra les rendre contraignants. Évidemment, le volet engagement saute si l’opérateur fournit des informations fausses, ou parce qu’il ne les a pas respectés.

Article 24 - Suivi des obligations et des mesures

L’article donne la possibilité à la Commission de prendre toutes les mesures nécessaires pour vérifier la mise en œuvre et le respect des obligations des contrôleurs d’accès. Cela peut passer par la nomination d’experts pour l’aider dans ses missions.

Article 25 - Non-conformité

La Commission prend une décision de non-conformité lorsqu’un opérateur ne respecte pas ses obligations ou ne respecte pas les engagements devenus contraignants, ou encore les mesures provisoires ordonnées.

Cette décision, préalable à la sanction, est précédée par l’envoi des conclusions préliminaires à l’entreprise concernée, accompagnées d’explications et d’informations sur les mesures que le gatekeeper serait bien inspirer de prendre.

La décision finale ne se contente pas seulement de constater une violation du DMA. Elle met en demeure également le contrôle d’accès de se conformer dans un délai approprié et de fournir son plan pour mettre un terme à la violation.

Article 26 - Les amendes

La décision de non-conformité peut être accompagnée d’une amende d’un maximum de 10 % du chiffre d’affaires total de l’exercice précédent. Et ce, que la violation soit le fruit d’une négligence ou d’une intention malveillante. Bien entendu, le comportement pèsera sur le montant finalement choisi, principe de proportionnalité faisant.

Ce plafond de droit commun sera rabaissé à 1 % du C.A. pour toute une série d’infractions particulières, par exemple lorsque l’entreprise fournit des informations parcellaires ou trompeuses, ne donne pas accès à ses bases de données ou ses algorithmes ou encore refuse un contrôle sur place.

Article 27 - Les astreintes

C’est un autre « bâton » disponible. Dans la limite de 5 % du C.A. quotidien, la Commission peut imposer le paiement de pénalités aux entreprises récalcitrantes. Le levier de l’astreinte pourra être utilisé pour obliger l’entreprise à se soumettre à une inspection sur place ou à garantir l’accès à ses algorithmes.

Article 28 - Délais de prescription

Les pouvoirs de la Commission définis aux articles 26 et 27 (sanctions et astreintes) sont soumis à une prescription de 3 ans. Toutefois, pour les infractions continues ou répétées, le point de départ débute au jour où la violation prend fin. Comme pour le DSA, ces délais sont suspendus lorsque la Cour de justice de l’Union européenne est appelée à trancher un différend sur le texte.

Article 29 - Délai de prescription pour l’exécution des sanctions

La Commission a cinq ans pour exécuter ces décisions de sanctions.

Article 30 - Droit de la défense

L’article organise le droit d’être entendu et d’accéder aux dossiers. Comme dans le DSA, le droit d'accès ne s'étend pas aux informations confidentielles et autres documents internes de la Commission ou des autorités des États membres.

Article 31 - Secret professionnel

Obligation pour l’ensemble des fonctionnaires, de la Commission, des États membres de ne pas divulguer les informations échangées ou obtenues en application de ce règlement et couvertes par le secret professionnel.

Article 32 - Comité consultatif des marchés numériques

Composé de représentants de chacun des pays de l'Union européenne (UE), ce comité sera consulté sur certains projets de décisions proposés par la Commission européenne, comme celles relatives à la non-conformité, ou pour les mesures intermédiaires.

Article 33 - Demande d’enquête de marché

Trois États membres pourront demander à la Commission d’ouvrir une enquête sur le fondement de l’article 15, celui qui permet à Bruxelles de désigner un contrôleur d’accès qui aurait oublié de se déclarer comme tel. Cette possibilité est ouverte dès que ces pays considèrent qu’il existe des motifs raisonnables de soupçonner que tel fournisseur non encore déclaré remplit toutes les cases à cocher. La Commission dispose de quatre mois pour jauger ces motifs.

Chapitre 6 - Dispositions générales

Article 34 - Publication des décisions

L’article ouvre le droit à la Commission de publier ses décisions de sanction notamment. Ces publications mentionnent le nom des parties et les motifs principaux. Tout ne peut être dit : cette transparence sera tempérée par les intérêts des tiers et évidemment la protection des informations confidentielles.

Article 35 - Contrôle par la Cour de justice de l’Union européenne

La CJUE dispose d’une compétence de pleine juridiction. Saisie, elle pourra annuler, réduire et même augmenter l'amende ou l'astreinte imposée à un « gatekeeper ».

Article 36 - Décisions d’exécution

Très logiquement s’agissant d’un règlement s’appliquant dans tous les États membres, directement, donc sans loi de transposition dans chaque pays, la Commission est investie du pouvoir d'adopter des actes pour garantir des conditions uniformes d'exécution des différentes mesures du DMA.

L’article 36 en décrit le périmètre. Cela concernera en particulier la forme et le contenu des notifications adressées par les futurs GateKeepers, ou encore les modalités pratiques sur l’exercice des droits de la défense.

Article 37 - Exercice de la délégation

La Commission se voit reconnaître un autre pouvoir, celui d’adopter des pouvoirs délégués pour une durée de cinq ans sur certaines dispositions du DMA. Classiquement, Parlement européen comme le Conseil pourra les révoquer à tout moment.

Article 38 - Évaluation

Tous les trois ans, la Commission devra évaluer le règlement dans un rapport remis au Parlement, au Conseil et au Conseil économique et social européen. Il traitera notamment des obligations inscrites aux articles 5 et 6. Bruxelles devra même faire des propositions de réforme, au besoin.

Article 39 - Entrée en vigueur, entrée en application

Le texte entre en vigueur 20 jours après sa publication au Journal officiel de l’Union européenne. Il entre ensuite en application 6 mois plus tard (soit 6 mois et 20 jours après le JOUE).

Certaines dispositions n’entreront en application qu’à une date particulière, non encore définie. Cela concerne les amendes et astreintes, notamment.

« Ce règlement sera obligatoire dans tous ses éléments et directement applicable dans tous les États membres » conclut la phrase finale.

Le Conseil d’État exige du ministère de la Justice la publication du texte d’application d’une disposition de la loi Lemaire orchestrant l’Open Data des décisions de justice. Un long combat puisque cette loi sur la République Numérique fut publiée voilà plus de… quatre ans.

Souvenez-vous. Dans ses articles 20 et 21, la loi Lemaire du 7 octobre 2016 prévoyait la mise à disposition du public des décisions rendues par les juridictions civiles comme administratives. Un valeureux effort au profit de l’Open Data des décisions de justice, trop souvent inaccessibles pour le commun des mortels sauf à être abonnés à des publications spécialisées.

Le Parlement avait renvoyé à un décret le soin de détailler quelques menues questions, puisque ces mises à disposition du public doivent se faire « dans le respect de la vie privée des personnes concernées » outre être précédées « d'une analyse du risque de ré-identification ».

En décembre 2016, la Chancellerie nous indiquait cependant que le basculement vers cette ouverture ne se ferait pas d’un claquement de doigt. Compte tenu de l’ampleur du chantier, cette mise à disposition ne serait que « progressi[ve] et sur plusieurs années »...

La patience ayant ses limites, l’association Ouvre-Boîte, qui milite pour cette ouverture, avait saisi le Conseil d’État dès 2018 pour espérer l’effectivité de ce chantier. Sa procédure visait d’abord la non-publication du fameux décret.

De la loi Lemaire au décret de juin 2020

Problème, entre-temps, la loi du 23 mars 2019 de programmation 2018-2022 et de réforme pour la justice modifia les textes introduits par la Loi Lemaire pour étendre cette obligation d’occultation (version antérieure, version modifiée)

Désormais, « lorsque sa divulgation est de nature à porter atteinte à la sécurité ou au respect de la vie privée de ces personnes ou de leur entourage, est également occulté tout élément permettant d'identifier les parties, les tiers, les magistrats et les membres du greffe ».

Et le même texte d’interdire que les données d'identité des magistrats et des membres du greffe, lorsqu’elles sont disponibles, puissent « faire l'objet d'une réutilisation ayant pour objet ou pour effet d'évaluer, d'analyser, de comparer ou de prédire leurs pratiques professionnelles réelles ou supposées ».

Ce n’est donc finalement que le 30 juin 2020 que le fameux décret attendu depuis 2016 fut publié. 

Satisfaction de l’association Ouvre-Boîte ? Pas vraiment : l’aventure rebondissait puisque ce texte administratif chargeait le garde des Sceaux de prendre cette fois un arrêté pour définir la date à compter de laquelle les décisions de justice seraient finalement mises à la disposition du public. Dans l’intervalle, le décret explique que la situation reste inchangée, et qu’il n’y a donc pas d’Open Data des décisions de justice contrairement à ce qu’impose la loi.

Un arrêté à publier dans les trois mois

Le Conseil d’État n’a pas suivi les conclusions du gouvernement qui militaient pour un non-lieu, le décret réclamé ayant été publié entre-temps.

Dans son arrêt du 21 janvier dernier, la haute juridiction administrative rappelle en effet que « l'exercice du pouvoir réglementaire comporte non seulement le droit mais aussi l'obligation de prendre dans un délai raisonnable les mesures qu'implique nécessairement l'application de la loi, hors le cas où le respect d'engagements internationaux de la France y ferait obstacle ».

Et, comme ici, « lorsqu'un décret pris pour l'application d'une loi renvoie lui-même à un arrêté la détermination de certaines mesures nécessaires à cette application, cet arrêté doit également intervenir dans un délai raisonnable ». Et pas quatre ou cinq ans après la loi qui lui sert de socle.

En conséquence, le Conseil d’État ordonne au ministre de la Justice de prendre ce fameux arrêté « dans un délai de trois mois ».

Pour l’association Ouvre-Boîte, à l’origine de la procédure, cette décision « ne veut pas dire que l'open data sera effectif dans trois mois ». L’arrêté fixera en effet le calendrier de déploiement permettant de savoir quelles données seront disponibles et quand.

Elle note au passage qu’en judiciaire, « d'après les prises de position de la Cour de cassation, une mise à disposition de toutes les décisions des hautes juridictions pourrait intervenir d'ici la fin de l'année, et on viserait début 2022 pour les cours d'appel ». 

« Une première en France », se félicite l’Association de lutte contre le piratage audiovisuel. Celle-ci, accompagnée de plusieurs représentants du secteur, a obtenu le blocage de huit services illégaux de télévision par internet (IPTV). Nous diffusons la décision. Dans le lot, iptv-teli.com, ddnc.us, platineiptv.pro ou encore primeplus.tv et xtream.ws.

« La décision a été rendue le 17 décembre 2020 et son application par tous les Fournisseurs d’accès Internet est effective » indique par communiqué l’organisme, bras armé du monde de l’audiovisuel. « Ces services situés en dehors du territoire national proposent l’accès à des milliers d’œuvres contrefaites (films, séries et documentaires) ainsi qu’à un ensemble de chaines de télévision gratuites ou payantes en contrepartie d’un abonnement ».

Pour elle, « la richesse de l’offre au regard du faible montant de la souscription ne devrait laisser planer aucun doute aux utilisateurs sur le caractère illicite de ce type de service ». Avec un effet douloureux pour les internautes : « l’application de la décision judiciaire a rendu ces services inaccessibles à leurs abonnés qui pour la plupart ont payé par avance leur accès ».

Depuis plusieurs mois, comme relevé dans nos colonnes, l’ALPA multiplie les demandes de déréférencement à l’encontre de ces sites, mais elle a doublé ces actions par une procédure de blocage visant les principaux fournisseurs d’accès français (Bouygues Télécom, Free, Orange et SFR).

Une action menée avec le Syndicat de l’Edition Vidéo Numérique, (SEVN), le CNC, la Fédération Nationale des Éditeurs de Films, l’Union des producteurs de cinéma, TF1, TMC, Canal Plus, ou encore M6. Au ceinturon, le sempiternel article L.336-2 du Code de la propriété intellectuelle qui permet, en présence d’une contrefaçon, d’obtenir « toutes mesures propres à prévenir ou à faire cesser une telle atteinte à un droit d'auteur ou un droit voisin, à l'encontre de toute personne susceptible de contribuer à y remédier ».

Des milliers de chaînes de TV accessibles par abonnement

Pour le cas présent, les agents de l’ALPA n’ont pas eu grandes difficultés pour faire constater que plusieurs services en ligne d’IPTV proposaient des chaînes payantes, sans autorisation des détenteurs de droits.

Ainsi, s’agissant du site IPTV-TELI, « il a été constaté l'accès aux flux directs de chaînes de télévision permettant le visionnage en direct des émissions suivantes à titre d'exemple : Les Douzes Coups de Midi sur TF1, LCI MIDI sur LCI, La Villa des Cœurs Brisés sur TFX, Boite Noire sur CANAL +, Banco sur CANAL + Cinéma, Mate Football Club sur CANAL + SPORTS et le 12 45 sur M6 ».

Sur le même service, il a été dénombré « un total de 4 827 chaînes télévisées, 4 588 films et 271 séries (qui) sont mis à disposition sans autorisation dont la grande majorité disponible légalement en salles, support ou en ligne ».

Selon le jugement que nous diffusions ci-dessous, « lors du constat de l'ALPA, le montant de la souscription permettant l'accès au site via le nom de domaine iptv-teli.com était de 28,99 euros pour 6 mois ».

Pour le site « Premium-IPTV », c’est cette fois « un total de 5 362 chaînes télévisées, 6 183 films et 304 séries » qui ont été comptés, « mis à disposition sans autorisation ». Là encore, il était possible de regarder plusieurs séries ou émissions, toujours sans l’aval des titulaires de diffuseurs, le tout pour 10 euros par mois.

Pluie d'atteintes aux droits d'auteur

Pour le tribunal judiciaire de Paris, la cohorte de demandeurs a établi « de manière suffisamment probante que les sites litigieux, qui s'adressent à un public francophone, permettent aux internautes, via les chemins d'accès précités, de télécharger ou d'accéder en continu à des oeuvres protégées à partir de liens hypertextes sans avoir l'autorisation des titulaires de droits, ce qui constitue une atteinte aux droits d'auteur ou droits voisins ».

Aucun des services en ligne épinglés ne disposait de mention légale imposée en France par la loi sur la Confiance dans l’économie numérique. « L'hébergeur du site est CloudFlare Inc et le propriétaire du nom de domaine n'est pas communiqué », affirme la décision. De fait, c’est surtout l’IP de cet intermédiaire qui ressort sur les cadrans, pour occulter la source de ces services.

« Ces éléments, prévient la décision, démontrent la connaissance du caractère entièrement ou quasi entièrement illicite des liens postés sur les sites litigieux par les personnes qui contribuent à cette diffusion et la difficulté pour les auteurs et producteurs de poursuivre les responsables de ces sites ».

Au final, la décision ordonne le blocage de ces 8 services :

• iptv-teli.com
• king365-tv.com, king365-tv.cf et king365tv.com
• ddnc.us
• platineiptv.pro
• premium-itv.com
• primeplus.tv
• xtream.ws
• tvservice.pro

Un blocage à la charge des FAI

« Compte tenu de leur nécessaire subordination à un nom de domaine, les mesures s'étendront à tous les sous-domaines associés au nom de domaine mentionné ». Le blocage durera un an et demi. Dernier détail, il se fera aux frais des fournisseurs d’accès, comme l’a autorisé une décision de la Cour de justice de l’UE, confirmée en France par la Cour de cassation.

« C’est une décision importante pour nous et une première en France » nous indique le délégué général de l’ALPA. Et il faudra en attendre d’autres ces prochains mois puisqu’« elle sera déclinée à tous les services IPTV non autorisés ». Toujours selon Frédéric Delacroix, « on est sur un système économique où il y a plusieurs dizaines de revendeurs dans le monde. Il est difficile d’avoir une volumétrie. Une certitude, ces services exigent une infrastructure sophistiquée, lourde et chère, pas vraiment à la portée de tout le monde. Derrière se cache une activité délictuelle qui engrange des sommes colossales grâce à ces systèmes »

L’objectif de l’ALPA est « de dissuader l’utilisateur qui a payé pour accéder à des services illicites. Nous tentons de faire baisser la volumétrie de l’offre, même si elle reste un puits sans fond ».

Des actions parallèles sont menées cette fois non contre les services sources, mais les revendeurs physiques. « En octobre 2020, en Martinique, un revendeur a été condamné suite à une action menée avec des chaînes TV et la gendarmerie. Il a été condamné à 8 mois de prison et 24 000 euros, sachant que vont s’ajouter les intérêts civils ».

Au passage, l’ALPA, qui montre que les moyens à disposition permettent déjà d’agir contre ces sites sans nécessairement exiger de réforme législative, a obtenu le blocage de 1 100 noms de domaine et 340 sites depuis l’affaire socle Allostreaming de 2016.

• Télécharger le jugement de blocage du 17 décembre 2020

Le projet de loi « séparatisme » termine son examen en commission spéciale. Enclenché à cette occasion, le futur de la régulation des plateformes. Le texte est prêt pour son passage en séance avant le Sénat. Bilan d’étape sur les dispositions touchant au numérique.

Le texte, rebaptisé projet de loi « confortant le respect des principes de la République » sera en séance à partir du 1er février. Là, les parlementaires pourront à nouveau proposer une série d’amendements sur chacune des dispositions. La base de travail sera non le texte initial déposé par le gouvernement, mais sa version modifiée en commission spéciale.

Dans cette version modifiée, plusieurs articles concernent directement « la lutte contre les discours de haine et les contenus illicites en ligne ».

Ils ont eu pour rapporteure l’inévitable Laetitia Avia, la députée LREM qui avait déjà tenté de faire passer sa loi contre la haine avant sa vaste censure du Conseil constitutionnel. La députée a donc « remis le couvert », espérant voir plusieurs dispositions passer cette fois.

L’article « Samuel Paty »

Le premier article à suivre introduit une nouvelle infraction, très inspirée de l’article 24 de la proposition de loi sur la sécurité globale, celui qui sanctionne le fait de diffuser l’image du visage d’un agent des forces de l’ordre à des fins manifestement malveillantes. 

L’article 18 dont il est ici question a été adopté sans profond changement par rapport à la version initiale. Avec l'assassinat de Samuel Paty en mémoire, il sanctionne le fait de révéler, diffuser ou transmettre (donc toutes les actions possibles) des informations relatives à la vie privée, familiale ou professionnelle d’une personne.

Ce n’est pas tout. Ces « informations » devront permettre d’identifier ou de localiser une personne ou les membres de sa famille dans le but de l’exposer à un risque direct d’atteinte à la personne ou aux biens. Un risque que l’auteur de la révélation, de la diffusion ou de la transmission « ne pouvait ignorer ».

Un millefeuille de conditions est donc exigé, mélangeant volonté délictuelle (« dans le but ») et faute caractérisée (« ne pouvait ignorer »). Ce responsable encourra en l’état, trois ans d’emprisonnement et 45 000 euros d’amende, et même cinq ans et 75 000 euros quand les faits visent une personne dépositaire de l’autorité publique ou sont commis au préjudice d’un mineur.

Une procédure non publique contre les sites miroirs

Les députés ont profité de cette fenêtre pour réécrire une partie de la loi sur la confiance dans l’économie numérique. Dans le droit actuel, lorsque le juge impose des mesures destinées à prévenir ou faire cesser un dommage, il faut d’abord passer par l’hébergeur puis à défaut, par le fournisseur d’accès. Pour accélérer ces traitements, ce cheminement hiérarchique (appelé principe de subsidiarité) est supprimé.

Autre nouveauté prévue par le texte gouvernemental, la lutte contre les sites miroirs. Un chantier qui avait débuté en matière de propriété intellectuelle voilà plusieurs années, décliné ici pour s’attaquer aux contenus dits « haineux ».

Hypothèse : une décision de justice exige le blocage d’un site parce qu’il recèle d’infractions considérées comme odieuses : injures aggravées, apologies de certains crimes, provocations à la discrimination, à la haine ou à la violence, harcèlement sexuel, traite des êtres humains, proxénétisme, pédopornographie et provocation au terrorisme mais aussi exposition de mineurs à des messages violents ou pornographiques. Le cas cité ? Democratie Participative, site raciste et homophobe. 

Si ce site réapparait sous un autre nom de domaine, il faut en principe une nouvelle procédure. Dans le texte en gestation, une « autorité administrative » (sans doute l’OCLCTIC), le cas échéant saisie par toute personne intéressée, pourra désormais demander aux hébergeurs et aux FAI d’étendre le blocage à ce miroir, si les contenus sont « identiques » ou simplement « équivalents ».

Un blocage des équivalents inspiré d’une décision de 2019 de la Cour de justice de l’Union européenne. Cette demande pourra aussi être exprimée à l’égard des moteurs de recherche, des annuaires ou tout autre service de référencement.

Tout se fera sans publicité. La demande est sans formalisme, les débats avec les intermédiaires se feront sans lumière, ni oreille. Et FAI, hébergeurs, moteurs et autres annuaires pourront accepter d’y faire suite. S’ils refusent, l’autorité judiciaire pourra être saisie, en référé ou sur requête, pour étendre ce blocage.

L’article 20 du projet de loi introduit pour sa part la possibilité de comparution immédiate à l’égard des auteurs de certaines infractions issues de la loi de 1881 qui en était traditionnellement privé. Cela vise la provocation à la discrimination, à la haine, à la violence, l’apologie des crimes de guerre ou encore la provocation à des crimes contre l'humanité.

L’anticipation du futur règlement DSA

Le gouvernement a profité de ce projet de loi pour imposer cette fois une série d’obligations aux plateformes. Obligations que Paris espère voire adoptées dans le « Digital Services Act ». La future bible européenne pour moderniser la responsabilité de ces acteurs.

• Le Digital Services Act expliqué ligne par ligne (articles 1 à 24)
• Le Digital Services Act expliqué ligne par ligne (article 25 à 74)

Lors d’une récente audition, Cédric O a précisé les vœux gouvernementaux : « notre objectif est de prétranscrire dans le projet de loi, sous la forme d’un amendement, les dispositions du DSA relatives aux grandes plateformes et aux grands réseaux sociaux ».

Il admet que le sujet est sensible « tant juridiquement (…) qu’au niveau européen » et ce 6 janvier 2021, il indiquait que cet amendement serait transmis « au Conseil d’État, qui devrait l’étudier avant l’examen en séance ». Toujours selon le secrétaire d’État au numérique, « compte tenu de cette sensibilité juridique et de l’enjeu de la conventionnalité, il n’est pas tout à fait certain que le Conseil d’État l’approuvera. Mais si le Conseil nous y autorise, nous l’introduirons en séance ».

Ce plan d’attaque n’a pas été vraiment respecté. L’amendement a été présenté et adopté dès le stade de la commission spéciale, sans que l’on ne dispose de l’avis du Conseil d’État.

Sensibilité ? La France entend s’écarter du droit actuel, pour anticiper un droit futur à l’aide de nouvelles obligations que devront respecter religieusement plateformes et autres réseaux sociaux. Une gesticulation juridique pour le moins hasardeuse qui devrait tôt ou tard être examinée par la Cour de justice de l’Union européenne. Si elle est saisie.

Lorsque le DSA entrera en vigueur, ses normes écraseront celles adoptées par la France, puisqu’un règlement est d’application directe. « Ce que nous allons prétransposer ne correspond pas à l’intégralité du DSA, dont certains éléments vont d’ailleurs évoluer au fil de la discussion européenne : il s’agit de la partie relative aux obligations de moyens pour les très grands réseaux sociaux. Compte tenu de l’urgence, nous traitons le gros du problème : la modération des contenus haineux sur ces très grands réseaux ».

Une pluie d'obligations de moyens 

Mais que prévoit en détail l’amendement gouvernemental adopté ? Le texte impose une ribambelle d’obligations dites de « moyens » à ces acteurs, avec le CSA comme gendarme. L’autorité administrative, autrefois vissée sur le tube cathodique, gagne ainsi de nouvelles compétences pour régenter l’ensemble des réseaux sociaux.

Quelles sont ces obligations ? La liste est très longue. Ils devront par exemple mettre en œuvre des procédures et des moyens humains et technologiques proportionnés permettant « d’informer, dans les meilleurs délais, les autorités judiciaires ou administratives des actions qu’ils ont mises en œuvre à la suite des injonctions émises par ces dernières ». Ils devront conserver temporairement les contenus qui leur ont été signalés et qu’elles ont retirés, « aux fins de les mettre à la disposition de l’autorité judiciaire pour les besoins de la recherche, de la constatation et de la poursuite des infractions pénales ».

Ils auront à désigner un point de contact « chargé de la communication avec les autorités publiques pour la mise en œuvre des dispositions » de cet article phare du projet de loi.

Ils devront mettre « en œuvre des procédures et des moyens humains et technologiques proportionnés permettant d’accuser réception sans délai des notifications relatives aux contenus » dits haineux et devront « garantir leur examen approprié dans un prompt délai ». En cas de retrait, ils devront informer l’auteur des publications litigieuses, tout en lui indiquant les voies de recours internes et judiciaires dont il dispose.

Des obligations de reporting sont également introduites. Le CSA, lui, sera chargé de veiller au respect de l’ensemble de ces obligations. Il disposera d’un accès aux principes de fonctionnement des outils automatisés auxquels les plateformes ont recours (paramètres, méthodes et données utilisées, etc.)

Le Conseil pourra mettre en demeure les réticents voire, s’il ne se plie pas, lui imposer une sanction d’un montant maximal de 20 millions d’euros ou 6 % du chiffre d’affaires annuel mondial. Dans certaines hypothèses, notamment en cas de communication d’informations fausses ou trompeuses, cette somme est ramenée à 1 % du chiffre d’affaires annuel mondial.

Ce n’est plus un secret : le monde de la Culture lorgne avec appétit les téléphones reconditionnés. L’idée ? Faire tomber ces secondes vies commerciales dans le périmètre de la redevance pour copie privée. Peu importent les conséquences pour l’écologie ou les acheteurs. Le Sénat tente de freiner ce rêve doré, soutenu par Cédric O.

Inutile de présenter cette redevance, tellement le sujet a occupé nos colonnes depuis plus de 15 ans. Retenons que cette ponction, que prélèvent les sociétés de gestion collective comme la SACEM, vient compenser un préjudice : la possibilité pour chacun de réaliser des copies à titre privé d’œuvres protégées, sans le sacro-saint accord des titulaires de droits.

• La redevance copie privée, vache à lait des industries culturelles 

L’acheteur paye donc une redevance lors de l'acquisition de ces supports, en contrepartie d'une liberté de copie. C’est une commission administrative, hébergée par le ministère de la Culture, qui décide des barèmes. Les ayants droit y sont en force (12 représentants, face à 6 industriels et 6 autres consommateurs) pour voter les montants qu’ils vont donc percevoir.

En 2019, les barèmes appliqués aux clés USB, tablettes, disques durs externes, cartes mémoire ou autres smartphones leur ont rapporté la bagatelle de près de 270 millions d’euros. Une manne importante pour l’univers culturel, d’autant que si 75 % sont redistribués aux titulaires de droits, 25 % servent à financer les festivals et autres actions collectives.

Souci : le secteur sait ce trésor annuel menacé. D’une part, le secteur de la téléphonie concentre la majorité des prélèvements, avec plus de 70 % de parts de marché en 2019. En clair, tous les œufs sont un peu dans le même panier.

D’autre part, les consommateurs copient de moins en moins. La génération qui dupliquait des fichiers à tour de bras pour alimenter d’épaisses bibliothèques a laissé place à la génération Spotify, Deezer ou YouTube. D’une logique de stock, voilà la logique de flux.

Avec une redevance dépendant des supports de stockage importés en France, on comprend que les sociétés de gestion collective puissent craindre des lendemains douloureux. Et l’idée que cette « rémunération » puisse baisser leur est insupportable, quand bien même elle n'est que la compensation d’un préjudice, en rien un pseudo-salaire.

Pour anticiper ces effets financiers, plusieurs stratégies sont en cours. Il y a bien sûr les biens achetés par les professionnels. Alors que ceux-ci devraient pouvoir se faire rembourser cette ponction, la procédure est suffisamment compliquée pour les en dissuader. Conclusion : contrairement à ce qu'impose le droit européen, des millions de pros payent une redevance sur ces supports. Les sommes non remboursées sont dès lors partagées par le secteur culturel.

Comme déjà révélé dans nos colonnes, il y a aussi le prochain assujettissement des ordinateurs et disques durs nus. L’un des derniers bastions qui restaient encore préservés pour des raisons historiques (ne pas freiner l’informatisation des foyers) est en train de tomber. La phase préparatoire est engagée depuis juillet 2020. 

Mais une autre cible est dans le viseur, rue de Valois : les biens reconditionnés. L’idée ? Frapper ces produits, peu importe qu'ils soient achetés par conviction écologique ou en raison de capacités financières restreintes. La Culture a des besoins bien plus impérieux.

Les biens reconditionnés, nouveau marché de la Redevance Copie privée

Souci, la redevance aujourd’hui est prélevée lors de la mise en circulation en France. L’importateur déclare donc ses stocks de supports à Copie France, la société des organismes de gestion collective. Il paye la copie privée afférente et déporte son coût sur le grossiste. Celui-ci se retourne à son tour sur le détaillant pour arriver enfin sur les épaules de l’acheteur final.

Avec l’essor de l’économie circulaire, ces règles d’assujettissements tombent sur un os : avec le reconditionnement, il y a non seulement l'importation puis la vente par exemple d'un téléphone neuf. Cette opération est en effet suivie de deux ou plusieurs ventes successives à des grossistes, des reconditionneurs, puis des particuliers.

Le 26 mai 2020, Next INpact révélait que le collecteur Copie France avait malgré tout assigné plusieurs reconditionneurs pour les faire passer à la caisse. Le combat judiciaire est depuis en cours. Et quel combat ! « Si on assujettit les produits reconditionnés, le consommateur va payer deux fois cette redevance. Une fois sur le produit neuf. Une fois sur le produit d’occasion », nous confiait par exemple Jean-Lionel Laccourreye, président du SIRRMIET, le fameux Syndicat Interprofessionnel du Reconditionnement et de la Régénération des Matériels Informatiques, Électroniques et Télécoms.

Un thème inscrit à l'ordre du jour en Commission

Le 16 novembre dernier, Jean Musitelli, président de la Commission copie privée, a tenté de siffler la fin de la récré : il a proposé seul d’inscrire la question des supports reconditionnés à l’ordre du jour.

Ce cheveu n'est pas tombé dans la soupe par hasard mais suite à un bras de fer entre plusieurs ministères : « le sujet des supports reconditionnés a été abordé au cours d’une réunion interministérielle concernant le projet de loi Environnement et numérique (ndlr : c'est une proposition de loi). À cette occasion, les ministères de l’Économie et de la Transition Écologique ont proposé d’introduire une disposition prévoyant l’exclusion du champ de la rémunération pour copie privée des supports reconditionnés. Le ministère de la Culture s’est opposé à cette exclusion ».

Toutefois, a relevé encore Jean Musitelli, « à la suite d’un arbitrage opéré par les services du Premier ministre, il a été décidé de ne pas donner suite à l’exclusion des supports reconditionnés du champ de la rémunération, mais de réfléchir à la mise en place d’un tarif différencié ».

En clair, la Culture était pour cet assujettissement, l’Écologie contre au point d’envisager un amendement taillé sur mesure. Et Jean Castex a tranché en faveur de la Rue de Valois, décision que Musitelli, président de cette instance non indépendante, s’est empressé d’inscrire fidèlement à l’agenda.

Celui-ci estime depuis « nécessaire de bien définir les caractéristiques propres aux appareils reconditionnés afin de déterminer en quoi ils se distinguent des produits neufs ». Évidemment, « s’il s’avère opportun de mettre en place un traitement différencié, il conviendra de déterminer selon quelle méthode la Commission le mettra en place ». Il s’agira donc de déterminer si ces biens flirtant avec la fin de vie commerciale doivent être soumis au même barème que les produits neufs, ou sous un tarif spécifique. 

La proposition de loi précitée « poursuit un objectif très louable. Il est important de prendre en compte l’empreinte du numérique sur l’écologie » concède encore Musitelli. Toutefois, il estime « que le numérique a aussi une empreinte sur la culture et l’exception de copie privée en est un des éléments ». Dit autrement, le vert est vraiment une jolie couleur, mais l'enchantement ne doit pas priver les ayants droit de millions d’euros supplémentaires. 

Toujours Rue de Valois, le plan d’attaque a été immédiatement applaudi par Pascal Rogard (membre de Copie France) qui a voulu rappeler que « la culture est un des secteurs les plus touchés par la crise sanitaire », tout en se disant « d’accord avec l’arbitrage du Premier ministre qui consiste à mettre le sujet des supports reconditionnés entre les mains de la Commission ».

Un agenda pour l'extension de la redevance

Le 11 décembre dernier, nouvelle réunion de la Commission Copie privée et nouvelle accélération : le président a cette fois proposé un programme de travail à bref délai, étendu du 12 janvier au 1er juin. Les grandes manœuvres sont donc en place :

Fin de l’acte 1 rythmé donc par un empressement hors norme.

L'acte 2 s'est joué cette fois au Sénat à l’occasion de l’examen en séance de la fameuse proposition de loi, celle visant à réduire l'empreinte environnementale du numérique en France.

Une PPL transpartisane portée par Patrick Chaize (LR), Guillaume Chevrollier (LR) Jean-Michel Houllegate (PS) et Hervé Mauray (UC) et qui, selon le résumé officiel, « vise à orienter le comportement de tous les acteurs du numérique, qu'il s'agisse des consommateurs, des professionnels du secteur ou encore des acteurs publics, afin de garantir le développement en France d'un numérique sobre, responsable et écologiquement vertueux ».

L'amendement Chaize pour exclure la redevance

Le 12 janvier dernier, Partick Chaize a en effet déposé un amendement qui vient fracasser le plan du trio Industries Culturelles - Ministère de la Culture - Commission Copie privée.

La rustine parlementaire précise que la redevance pour copie privée « n’est pas due non plus lorsque les supports d’enregistrement sont issus d’activités de préparation à la réutilisation et au réemploi de produits ayant déjà donné lieu à une telle rémunération. »

L'élu s’en explique dans l’exposé des motifs : « le paiement de la rémunération pour copie privée est collecté sur les produits neufs lors de leur mise en circulation en Europe. Or, un produit ne peut faire l'objet que d'une seule mise en circulation au sens de l’article 1245-4 du Code civil ».

Cet article prévient clairement qu’« un produit est mis en circulation lorsque le producteur s'en est dessaisi volontairement », non sans préciser qu’« un produit ne fait l'objet que d'une seule mise en circulation ». Patatras.

Pour Chaize donc, la redevance ne doit s’appliquer qu’aux seuls produits reconditionnés qui proviennent d’Europe, sachant que « la redevance ne doit être payée qu’une seule fois sur un même produit. » En somme, si un produit est reconditionné en Allemagne puis importé en France, il serait soumis. Mais si ces opérations n’ont lieu qu’en France, avec déjà un prélèvement de RCP, il n’y aura pas de ponction sur les reventes successives.

Des raisons pas seulement juridiques

Les raisons avancées ne sont pas seulement juridiques. « L’application de cette obligation aux produits reconditionnés ferait peser une menace sur un secteur en développement et apportant une contribution majeure à l’essor d’une économie numérique plus circulaire et plus vertueuse » ajoute le parlementaire. 

Ainsi, « si ces produits numériques reconditionnés devaient être soumis à cette redevance, le coût supplémentaire serait supporté par les consommateurs eux-mêmes et pourrait favoriser l’achat de produits neufs à faible coût, mais de moindre qualité technique et de plus fort impact environnemental plutôt que l’achat de produits reconditionnés en Europe ».

Frapper les biens reconditionnés « provoquerait un double coup en ces temps de crise : une perte de pouvoir d’achat pour les Français et un frein au développement de solutions environnementalement vertueuses ».

Cédric O personnellement contre une telle extension

En séance, les partisans de cette exclusion ont croisé le fer avec les parlementaires très portés sur la cause culturelle. Duel où est intervenu Cédric O.

Ce 12 janvier, les sénateurs n’ont pas seulement adopté un taux de TVA réduit à 5,5 % pour l’acquisition de produits électriques et électroniques reconditionnés, ainsi que pour les services de réparation de biens comportant des éléments numériques.

Ils ont aussi adopté l’amendement Chaize excluant la redevance pour copie privée.

Pour le sénateur Jean-Michel Houllegatte, « les biens reconditionnés n’ont encore jamais fait l’objet dudit prélèvement. Pour autant, nous avons appris que la commission chargée de déterminer les types de supports entrant dans le champ de la rémunération envisageait une telle mesure. À nos yeux, le fait d’exonérer les biens reconditionnés du paiement de la rémunération pour copie privée n’entraînerait donc pas, à ce jour, de perte de recettes pour le monde de la culture : il s’agirait tout au plus d’une perte de recettes hypothétique(s) ».

D'autres arguments ont été mis sur la table : « l’application de la rémunération pour copie privée à un smartphone de 250 euros pourrait se traduire par un prélèvement d’environ 10 euros. Autrement dit, cet assujettissement annulerait presque intégralement la baisse des taux de TVA sur les biens reconditionnés, que nous avons souhaité introduire ».

Le geste fiscal pour l'écologie serait donc annulé dans l'estomac du monde de la Culture, sur le dos d'acheteurs parfois peu fortunés, frappés eux-aussi par la crise et/ou sensibles aux impacts environnementaux du numérique.

Et si on doublait les barèmes ? 

L’analyse n’a pas été partagée par Laure Darcos (LR). Pour la vice-présidente de la commission de la Culture, « il s’agit non pas d’assujettir deux fois le même équipement, mais de partir du principe que les produits reconditionnés disposent d’une seconde vie : leur nouvel utilisateur pourra employer toutes leurs fonctionnalités d’origine ». Et selon les évaluations du ministère de la Culture et des acteurs de la filière, les sommes en jeu frôleraient les 20 millions d’euros. Peu importe là encore si ce prélèvement menace des filières fragiles et naissantes,.

La sénatrice a imaginé une autre piste avec une finesse de bulldozer : si avec cette proposition de loi en faveur des produits reconditionnés, « la durée d’utilisation des smartphones est portée de deux à quatre ou cinq ans, doublons le montant de la taxe ! » (sachant que la redevance n’est pas une taxe). 

Les convictions de Cédric O, la position du gouvernement 

Cédric O s’est appuyé sur une évaluation juridique interne pour « confirmer » que les biens reconditionnés « ne sont pas assujettis à la rémunération pour copie privée ». Alors que la Commission s’engage malgré tout sur cette voie, « à titre personnel, j’estime que les dispositions proposées par M. Chaize ont du sens ».

Sauf qu'avec l'arbitrage Castex, le secrétaire d’État au numérique a été contraint d’émettre un avis défavorable sur l’amendement. Malgré tout adopté par le Sénat, le texte part maintenant à l’Assemblée nationale, où le groupe LREM a cette fois la majorité.

Autant dire que les jours sont comptés pour l’amendement Chaize, alors que se prépare l’extension de la redevance en Commission Copie privée sur le reconditionné, quand les tribunaux examinent déjà sa solidité juridique. 

Le projet de loi « confortant le respect des principes de la République » (ou PJL « Séparatisme ») entame son examen en séance aujourd'hui à 16 heures. Les inévitables amendements ont été déposés. Panorama des propositions touchant au numérique.

Le texte, véritable fourre-tout, ouvre une nouvelle fenêtre d’opportunités pour les députés en mal de régulation. Et nécessairement, Internet et les nouvelles technologies en général, sont une cible de choix, comme nous allons le voir. Internet, mais pas seulement puisque la télévision est aussi concernée.

Des députés Agir ensemble souhaitent par exemple permettre au juge de prononcer à titre de peine complémentaire, la diffusion sur les chaines de télévision de la condamnation de la personne reconnue coupable de faits de provocation à la commission d’un crime ou d’un délit » (1679). Selon eux, le juge pourra par ce biais informer les téléspectateurs et les auditeurs « des condamnations prononcées contre des personnalités invitées ou employées par des chaines de télévision ».

Le miroir de l’article 24 de la proposition de loi sur la sécurité globale

Surtout, l’article 18 du projet de loi vient condamner les diffusions d’informations sur une personne permettant de l’identifier ou la localiser, avec une précision : cette diffusion doit avoir été faite dans le but de l’exposer à un risque d’atteinte à la vie ou aux biens, ce à l’égard d’elle ou même de sa famille.

La disposition a été inspirée de l’assassinat du professeur Samuel Paty. Elle est aussi et surtout le miroir de l’article 24 de la proposition de loi sur la sécurité globale, contre laquelle des manifestations sont organisées chaque samedi.

La notion d’ « information » est très vaste puisqu’elle intègre celles relatives à vie privée, familiale et même professionnelle d’une personne. L’infraction sera alors punie de 3 ans d’emprisonnement et 45 000 euros d’amende, voire 5 ans d’emprisonnement et 75 000 euros d’amende quand la personne concernée est mineur ou dépositaire de l’autorité publique.

Marc Le Fur (LR) a déposé un amendement de suppression, jugeant l’infraction beaucoup trop étendue en l’état. « Un simple appel à manifester devant un bâtiment public, sans mention du nom du fonctionnaire, sera-t-il pénalisé ? » s’interroge-t-il, non sans craindre en creux une réponse positive (774)

Même remarque chez Guillaume Chiche (non inscrit) : « le délit de mise en danger est un délit qui prohibe un comportement indépendamment de l’existence de résultat. Par conséquent, l’instauration de ce nouveau délit risque d’entrainer des conséquences délétères » (675). 

Emmanuelle Ménard juge l’article inutile : « le droit actuel comportant déjà de nombreuses dispositions permettant de punir cette incitation aux crimes et aux délits, cet article 18 ne semble pas nécessaire » (1148).

Et pour Charles de Courson (Libertés et Territoires), « si le dispositif juridique proposé permet que le comportement prohibé soit réprimé indépendamment de l’existence du résultat, il sera complexe de caractériser correctement l’infraction. Il faudra rapporter la preuve du caractère malveillant de la diffusion en l’espèce. Or, on ne condamne pas sur une intention, il faut la prouver » (1429).

La France Insoumise dresse sans mal un pont avec l’article 24 de la proposition de loi sur la sécurité globale (relative à la photo du visage des policiers), non sans relever que l’article 18 est inscrit dans le Code pénal et concerne cette fois toutes les personnes. « Sa rédaction n’en demeure pas moins aussi inquiétante » note le groupe qui réclame donc sa suppression (1596).

Charles de Courson a d’ailleurs déposé un amendement reprenant l’article 24, afin d’interroger le gouvernement sur l’articulation de ces deux infractions aux périmètres si voisins. « Ces deux articles, aux objectifs similaires, auront-ils vocation à cohabiter ? » (1434).

« Ce nouveau délit, comme l’indiquait monsieur le garde des Sceaux en audition, va bien au-delà de l’article 24 de la proposition de loi Sécurité globale. En effet, seront pénalisés également les cas de révélation d’information relative à la « vie professionnelle » d’un individu, et l’amendement mentionne les risques directs d’atteinte aux biens. Ces notions sont larges et parfois très floues » remarquent aussi les députés Reiss et Hetzel (LR) (1959).

Émilie Cariou notamment recommande également de supprimer cet article. « Il faut nécessairement une politique de protection par la puissance publique des personnes - notamment concrétisée par une politique pénale judiciaire dotée d’orientations claires, pragmatiques et financées en moyens humains et matériels ». Toutefois, « cette juste action publique ne peut être remplacée par la création d’infraction floue et probablement surabondante par rapport à celles existantes » (2198).

Dans la salve des amendements suivants, le PS préfèrerait faire condamner moins lourdement les atteintes aux biens (1006) « Il en va de la proportionnalité de la mesure et donc de sa conformité à l'article 8 de la Déclaration des droits de l'Homme et du citoyen de 1789 ».

Dans le n°1007, ils entendent préserver la liberté d’informer : « Cette disposition n’a pas pour objet et ne peut avoir pour effet de réprimer la révélation ou la diffusion de faits, de messages, de données, de sons ou d’images qui ont pour but d’informer le public alors même que ces informations pourraient ensuite être reprises et retransmises par des tiers dans le but de nuire à la personne qu’elles permettent d’identifier ou de localiser. »

Des députés LR veulent réprimer également « le fait de communiquer des éléments de la vie étudiante permettant d’identifier une personne qui pourraient lui porter atteinte ». Un amendement baptisé « Mila » (124).

La rédaction actuelle pose néanmoins de lourds problèmes sur le terrain de l’intentionnalité, souligne notamment l’amendement 242 signé par plusieurs députés LR. « Tel que rédigé, cet article est flou avec des contours imprécis. Il convient de préciser que les faits révélés sont dans l'intention de nuire comme l'a indiqué le Procureur de Paris lors de son audition ». Ils veulent expressément mentionner que la diffusion soit faite avec l’intention de nuire, pour s’engager vers la condamnation de l’auteur. 

Le député Olivier Falorni (Libertés et Territoires) entend profiter du texte pour revoir à la hausse les peines en matière d’usurpation d’identité lorsqu’elle est réalisée en ligne. Une circonstance aggravante devrait selon lui être punie de deux ans d’emprisonnement et 50 000 euros d’amende, contre un an et 15 000 euros d’amende aujourd’hui (1724). 

Vers un délit d’incitation à la haine ?

Plusieurs autres mesures sécuritaires sont sur la rampe. Ainsi, le député LR Meyer Habib dans le n°1443 veut introduire « un délit d’incitation à la haine de la France ». « Les propos de haine contre la France se banalisent, trouvent refuge chez des chanteurs de rap, comme Nick Conrad, qui dans sa chanson « Doux pays » en 2019, dit notamment "brûler la France". Les exemples sont hélas légions ! »

Autre exemple cité par le député : « récemment, en réponse aux re-publications des caricatures de Mahomet par Charlie Hebdo, ainsi que le discours d’Emmanuel Macron évoquant un "islam en crise" lors de son allocution sur le séparatisme islamiste le 8 octobre 2020 et l'hommage national à Samuel Paty le 16 octobre suivant, de nombreux pays arabes notamment le Qatar, le Koweït, les Émirats arabes unis, l'Algérie, l’Iran, la Jordanie ont manifesté une hostilité envers la France ».

Le même Meyer Habib entend assimiler l’antisémitisme à l’antisionisme dans la loi de 1881. Seraient punis des mêmes peines (cinq ans d'emprisonnement et de 45 000 euros d'amende) ceux qui « auront incité à la haine envers l’existence même de l’État d’Israël ou qui auront appelé à sa destruction. » (1447)

Au n°1807, il réintroduit le délit de consultation des sites terroristes, censuré par deux fois par le Conseil constitutionnel en 2017. 

Vérification d’identité, modération en France

Le texte étant sécuritaire, il est un appeau aux propositions déjà tentées par le passé. Éric Ciotti entend ainsi encore et toujours imposer la vérification d’identité sur les plateformes et même chez tous les hébergeurs dépassant un seuil de connexion. « L’objectif est double : celui qui publie un message sera non seulement identifiable immédiatement, mais aussi responsable des contenus qu’il aura publiés. Cela sera de nature à remédier au sentiment d’impunité qui existe pour les auteurs de propos haineux sur internet » (1629)

Relevons aussi le n°2537 du député Jolivet qui entend obliger tous les hébergeurs à avoir des équipes de modération « situées en France ». Le même, dans le n°2580, veut rendre responsable les sociétés d’hébergement de tous les dommages, du moins « si elles n'ont pas pris toutes les mesures visant à éviter ce dommage ». Une mesure en contrariété directe avec le régime de responsabilité de la directive e-commerce de 2000 qui ne prévoit pas de mesures similaires.

Protection des journalistes

Dans le 2363, le député Belkhir Belhaddad (LREM) rappelle que « le Code pénal a prévu des sanctions aggravées lorsque des violences sont commises sur un agent chargé de mission de service public, un professionnel de santé ou encore un gardien d’immeuble ».

Son amendement ajoute « explicitement la profession de journaliste à cette liste définie par la loi. En effet, il paraît pertinent et équilibré, pour faire vivre les principes républicains, que tout journaliste puisse effectuer son devoir d’information sans risque pour son intégrité physique ».

Ainsi, « les violences qui auraient entraîné une incapacité de travail inférieure ou égale à huit jours ou n’ayant entraîné aucune incapacité de travail seraient punies de trois ans d’emprisonnement et de 45 000 euros d’amende lorsqu’elles sont commises dans l’exercice ou du fait des fonctions de journaliste, lorsque la qualité de la victime est apparente ou connue de l’auteur ».

Droit de réponse sur les réseaux sociaux

Au n°1137 Paula Forteza et plusieurs autres députés souhaitent revoir le régime du droit de réponse en ligne. Il prévoit « que les internautes visés par une publication pourront le faire valoir même s’il est possible de répondre directement (à un tweet, à une publication Facebook…) ».

Pour cela les réseaux sociaux devraient « mettre en place "un dispositif facilement accessible et visible depuis le service" , afin que chaque internaute mis en cause puisse exercer son droit de la manière la plus simple possible. L’auteur du message sera tenu d'insérer la réponse dans un délai de trois jours, sous peine d’amende, et dans des formes identiques à celles de la mise en cause : tweet, post Facebook, etc. »

Les sites miroirs

Sur l’article relatif à la lutte contre les sites miroirs, il s’agira de rendre plus effective les décisions de justice exigeant le blocage d’un site parce qu’il recèle certaines infractions (injures aggravées, apologies de certains crimes, provocations à la discrimination, à la haine ou à la violence, harcèlement sexuel, traite des êtres humains, proxénétisme, pédopornographie et provocation au terrorisme, mais aussi exposition de mineurs à des messages violents ou pornographiques ».

Si ce site revient sous un autre nom de domaine, le texte autorise une « autorité administrative » (sans doute l’OCLCTIC), au besoin saisie par toute personne intéressée, à demander aux hébergeurs et aux FAI d’étendre le blocage à ce miroir si les contenus sont « identiques » ou simplement « équivalents ». Et si les intermédiaires refusent, il faudra ressaisir le juge.

Éric Ciotti entend réduire les marges de manœuvres laissées aux FAI et hébergeurs en imaginant une sanction en cas de non-respect de l’obligation de retirer ou de rendre inaccessible les contenus. Elle serait « d’un an d’emprisonnement et 250 000 euros d’amende pour une personne physique. Ce montant est porté à 37,5 millions d’euros pour une personne morale. » (1628).

Éric Bothorel dans le n°657 préfère permettre l’extension de ces mesures non aux seuls FAI ou hébergeurs, mais « à toute personne susceptible d’y contribuer ». Selon l’élu LREM en effet, « il paraît préférable de ne pas s’en tenir à une liste limitative dans un contexte où les technologies évoluent très rapidement dans ce domaine, comme l’illustre par exemple la généralisation à venir du protocole DNS over HTTPS ».

Dans le n°1067, le même veut qu’une liste noire soit érigée par la même autorité, à charge pour les annonceurs de couper les vivres de ces sites. Et dans le n°1068 il veut muscler cette approche dite « follow the money ».

Au MoDem on tient à ce que les intermédiaires techniques soient indemnisés pour ces opérations de blocage et autres suppressions d’accès (1686).

La pré-transcription du Digital Services Act

Le gouvernement entend avec ce projet de loi prétranscrire dans notre droit le futur Digital Services Act, le nouveau régime de responsabilité et d’encadrement des plateformes et autres réseaux sociaux. La mesure est à tout le moins ambitieuse puisqu’en anticipant le droit futur, l'exécutif compte avant tout rajouter des nouvelles obligations non prévues par la directive de 2000 sur le commerce électronique, toujours en vigueur.

• La nouvelle régulation des plateformes adoptée en commission parlementaire

La démarche agace. Des députés LR, aux amendements 945 et 947 citent Next INpact pour dénoncer cette charrue française avant le bœuf européen. « La situation va conduire nécessairement la France vers un texte en contrariété avec le droit européen existant, au prétexte d’une mise en conformité avec un futur droit européen hésitant » expliquent-ils, non sans reprendre ce passage dans notre brève. 

Chez Libertés et Territoires, même analyse : les députés regrettent le dépôt en commission de l’amendement gouvernemental, qui a donc su éviter d’y consacrer une partie de son étude d’impact. Ils dénoncent des bases juridiques très fragiles. « Si chaque pays se met à anticiper l’adoption du DSA (…) et en adoptant sa propre législation en faisant son marché dans le projet de DSA (ce que projette la Pologne par exemple), en multipliant les autorités compétentes comment va-t-on gérer la compétition entre les différentes régulations européennes ? » (1452)

Paula Forteza entend elle exclure les plateformes à but non lucratif comme Wikipedia, des obligations de moyens qu’entend imposer le gouvernement français. « Certains acteurs à but non lucratif, dont les contenus sont modérés par des bénévoles, pourraient (…) se trouver dans l’incapacité de répondre aux nouvelles obligations posées par ce texte » regrette-t-elle

Au n° 861, le député Raphael Gérard souhaite cette fois revoir les obligations de retrait pesant sur les plateformes. « Les associations féministes se font régulièrement l’écho de retraits abusifs de contenus présentant de la nudité féminine, y compris lorsque de tels contenus sont dépourvus de connotations sexuelles sur les plateformes, à l’instar de la censure de la couverture de Leslie Barbara Butch dans Telerama par Instagram et Facebook ». Son amendement veut que ne soit retiré que « les contenus impliquant de la nudité ou ayant trait à la sexualité uniquement lorsque cela est strictement nécessaire au regard de la poursuite de l’intérêt général attaché à la lutte contre l’exposition des mineurs à la pornographie ».

Laetitia Avia qui endosse la casquette de rapporteure sur les articles relatifs à la lutte contre la haine en ligne a introduit un amendement 2518 pour écarter les plateformes de vente ou d’échanges de biens et services. Un oubli consécutif à l’empressement LREM à vouloir légiférer plus vite que l’Europe.

Ajoutons qu’une cohorte de députés LREM comptent introduire une sorte de Permis internet attestant que les élèves du primaire et du collège « ont bénéficié d’une sensibilisation au bon usage des outils numériques et des réseaux sociaux, aux dérives et risques liés notamment aux contenus haineux et illicites, ainsi qu’aux fonctionnements et biais technologiques de ces outils. » (2584). L’idée avait déjà été soutenue en commission, mais repoussée car la majorité des députés ont expliqué à Laetitia Avia que le dispositif existe déjà. 

Dans l’amendement 2585, est annoncée une généralisation de cette certification « dès l’année scolaire 2021-2022 pour les classes de terminale en lycée général, technologique et professionnel, de CAP, et pour les étudiants en 2e année de BTS et CPGE ».

Internet, les mineurs, l’enfermement et la charge émotionnelle

Valéria Faure-Muntian (LREM) compte obliger les plateformes à détailler chaque semaine à chaque abonné le temps passé sur la plateforme, le type et la provenance de contenus visualisés, ainsi que des thématiques abordées. Elles devraient aussi les informer « des contenus illicites qui ont été visionnés avant leur retrait de la plateforme ». Dans son amendement 2214, elle relève que « les mécanismes algorithmiques des plateformes sont en effet susceptibles d’enfermer progressivement les utilisateurs dans des bulles informationnelles où peuvent notamment se diffuser des contenus illicites ou tendancieux ».

Ces effets « poussent ainsi l’utilisateur à développer des biais cognitifs de confirmation toujours plus poussés, encourageant l’absence d’objectivité, le manque d’avertissement des utilisateurs et, plus préoccupant encore, le processus de repli sur soi ».

Dans le 2219, elle veut aller plus loin pour contraindre Facebook et autre Twitter à identifier « les contenus susceptibles de nuire à l'épanouissement physique, mental ou moral des mineurs », selon l’expression puisée dans la loi de 1986 sur la liberté de communication.

Le mineur serait alors informé « de manière claire, accessible et facilement compréhensible, lorsqu’un contenu visionné est porteur d’une charge émotionnelle à forte intensité ».

C’est un contenu qui « sans nécessairement être illicite, est de nature à nuire, notamment en raison de son caractère violent, choquant ou particulièrement viral, à l’épanouissement physique, mental ou moral du mineur ».

Le mineur serait tout aussi informé « de manière claire, accessible et facilement compréhensible, lorsqu’il s’expose à un risque d’enfermement » Soit les contenus « qui, visionnés de façon régulière et répétée dans le temps, sont de nature à nuire, en raison de charges émotionnelles à forte intensité ou de leur caractère addictogène, à l’épanouissement physique, mental ou moral du mineur »

Des obligations qui obligeraient les plateformes à surveiller activement l’ensemble des contenus mis en ligne. En violation de l’article 15 de la directive e-commerce.

La députée veut que les mêmes Facebook, Twitter et autres adoptent les symboles et autres messages d’avertissements lorsque des programmes sont diffusés notamment à destination des mineurs (signalétiques interdits aux moins de 16 ans, -18 ans…)

Ce n’est pas tout. Les mêmes plateformes devraient veiller « à recommander en priorité aux mineurs des contenus éducatifs adaptés à l’âge de l’utilisateur, en certifiant des contenus favorisant l’épanouissement physique, mental et moral du mineur ». Rien de moins.

Les députés LREM optent pour un projet moins ambitieux. Ils veulent tout de même que les plateformes, lors de l’inscription d’un mineur, lui adressent une information « sur l’utilisation civique et responsable dudit service et sur les risques juridiques encourus en cas de diffusion par le mineur de contenus haineux ». Les parents recevraient un document similaire, toujours lors de l’enregistrement de moins de 18 ans (2599)

Ajoutons que le projet de loi va étendre la procédure de comparution immédiate pour les personnes accusées de délits de provocation à la commission d’infractions graves, des délits d’apologie d’infractions graves, délits de provocation à la haine discriminatoire. Le groupe GDR s’y oppose (2013) au motif que cette procédure rapide « qui concernait initialement les seuls flagrants délits est considérée par de nombreux professionnels comme une justice expéditive dans laquelle les avocats disposent de très peu de temps pour prendre connaissance du dossier ». De plus, « aucune étude ne permet d’étayer le paradigme suivant lequel la justice rapide serait une justice plus efficace ».

En centre de rétention à cause de son comportement 

D’autres amendements LR veulent étendre les délais de prescription dans la loi de 1881 (752) notamment lorsque certaines infractions sont commises « à l’encontre d’une personne chargée d’une mission de service public ou d’un agent d’un établissement scolaire » (250)

Dans l’amendement 1442, le député Meyer Habib souhaite que le ministre de l’Intérieur puisse placer en centre de rétention ou sous surveillance électronique n’importe quel individu « à l’égard duquel il existe des raisons sérieuses de penser qu’il constitue, par son comportement, une grave menace pour la sécurité nationale ».

La décision initiale s’étendrait sur un mois. Au-delà, le juge de la détention pourrait l’étendre jusqu’à cinq mois, période aux termes de laquelle le ministre pourrait « prendre une nouvelle décision d’assignation dans un centre de rétention ou de placement sous surveillance électronique ».

Des députés LREM souhaiteraient que tous les élèves disposent d’un matériel scolaire identique, dont une tablette électronique, dans les écoles élémentaires, collèges et lycées. Une obligation pesant sur les épaules de l’État. « La fourniture d’un matériel scolaire identique à tous les élèves participe à faire tomber ce qui pourrait détruire moralement un jeune, qui n’aurait pas les ressources financières suffisantes pour être épargné par les insultes ou les violences ».

• Les 2 657 amendements 
• Le texte discuté 
• Le flux vidéo (à partir de 16 heures)

Criteo s’apprète à sabrer dans ses effectifs, a-t-on appris de sources internes. Ce plan nous a été confirmé par l’entreprise. Selon nos informations, il devrait toucher 10 % du personnel. 

Peu de détail pour l’instant, mais le géant de la publicité en ligne va réduire la voilure. Contactée, l’entreprise nous confirme que « dans le cadre de [sa] transformation, la société a procédé à un examen de son organisation mondiale au cours des derniers mois ».

Suite à cet examen, « la société a communiqué aux salariés le 1er février 2021 un plan d'ajustement de sa structure de coûts et de retour à une croissance durable ».

« Côtée en bourse, la société Criteo, et ses filiales, est l'un des leaders du Commerce Marketing grâce au machine learning et à ses 2 700 employés » indiquent les pages officielles. Selon nos informations, le plan pourrait toucher 10 % des effectifs. Plus de détails sous peu. L'entreprise détaillera ses résultats le 10 février prochain. 

 

Saisie par la commission des lois du Sénat, la CNIL rend public son avis sur la proposition de loi relative à la sécurité globale. Autant dire que les critiques de l’autorité indépendante sont multiples à l’égard du texte porté par la majorité LREM.

La CNIL avait été délaissée jusqu’à présent, les députés ayant adopté la proposition de loi sur la sécurité globale, sans s’enquérir de son avis. Et pourtant, la loi de 1978 modifiée permet déjà au président de l'Assemblée nationale ou des commissions compétentes de la saisir « sur toute proposition de loi relative à la protection des données à caractère personnel ou au traitement de telles données ».

Au Sénat, autre lieu, autre ambiance : François-Noël Buffet (LR), président de la commission des lois, a corrigé le tir. Un choix bienvenu selon Marie Laure Denis, qui « témoigne de la volonté de prendre en compte les enjeux significatifs sur certaines dispositions de la proposition de loi, en particulier en matière de vidéo ». Message transmis aux députés.

• Sécurité globale : l’Assemblée nationale adopte la proposition de loi. Et maintenant ? 

Aujourd’hui, l’autorité indépendante vient de rendre cet avis sur le texte LREM, défendu mordicus par Gérarld Darmanin au gouvernement. Et pour cause, plusieurs de ses dispositions centrales orchestrent des traitements de données à caractère personnel à des fins sécuritaires.

Des outils de surveillance de plus en plus performants

Dès l’introduction, le ton est donné : la PPL s’inscrit dans un mouvement appuyé sur « des technologies de surveillance de plus en plus performantes ». Et la présidente de la commission de regretter l’absence d’évaluation globale sur « l’efficacité de ces systèmes » au regard des risques d’atteintes aux libertés individuelles. Un peu plus loin dans son avis, elle évoque même un « changement d’échelle ».

La proposition de loi sur la sécurité globale ? « Une nouvelle étape, majeure de ce mouvement » écrit Marie-Laure Denis. Les outils qu’elle draine induisent « des choix de société auxquels il convient que le Parlement soit particulièrement attentif », et dont les conséquences à moyen terme « ne sont pas (…) parfaitement identifiées ».

D’autant plus que le texte ne permet pas d’aboutir à un encadrement juridique « cohérent, complet et suffisamment protecteur des droits des personnes en matière de vidéoprotection », estime-t-elle. La faute à de nombreuses dispositions du Code de la sécurité intérieure jugées « obsolètes ».

Plusieurs articles sont passés au crible.

Les drones équipés de caméras, un « changement de paradigme »

Si tous les yeux se sont tournés sur l’article 24 relatif aux photos du visage des policiers, la CNIL débute son examen par l’article 22 relatif aux caméras dites aéroportées.

Cette disposition avait été appelée par le Conseil d’État, alors que la Préfecture de Police de Paris a multiplié ces vols, sans l’ombre d’un texte encadrant les traitements de données personnelles qu’ils induisent. Une cavalerie aérienne dégommée par un missile sol-air lancé par la CNIL à l’égard du ministère de l’intérieur.

• Drones : la CNIL sanctionne le ministère de l’Intérieur pour violation de la loi de 1978

Avec la PPL, drones, avions et hélicoptères pourront donc être utilisés dans des « missions de prévention des atteintes à la sûreté de l’État, la défense ou la sécurité publique » mais aussi « de prévention, de recherche, de constatation ou de poursuite des infractions pénales ».

Contrairement aux caméras au sol, voilà des dispositifs « mobiles, discrets par nature et dont la position en hauteur leur permet de filmer des lieux jusqu’ici difficiles d’accès voire interdits aux caméras classiques », relève la CNIL. Ces caméras permettent même le suivi individualisé des déplacements d’une personne, à son insu « et sur une durée qui peut être longue ».

Un changement de « paradigme » pour la Commission, qui évoque la question de la société dite « de surveillance ». Pour éviter le pire, la CNIL recommande aux parlementaires de conditionner ces outils à une expérimentation préalable, suivie d’un bilan transmis à l’autorité, aux députés et aux sénateurs. Des phases non prévues par le texte actuel, qui autorise le déploiement de ces flottes aériennes dès publication au Journal officiel.

La commission rappelle sans mal que ces yeux électroniques devront respecter les textes européens et français en la matière, puisqu’ils opèrent un traitement de données à caractère personnel. Or, « les personnes filmées peuvent être aisément identifiées », des techniques d’analyse d’images permettent de restaurer une image proche de celle d’origine » outre que des données sensibles (convictions religieuses, etc.) seront possiblement aspirées.

La loi en gestation a fixé plusieurs finalités pour justifier ces drones aéroportés :

• La prévention d’actes de terrorisme
• Le constat des infractions et la poursuite de leurs auteurs par la collecte de preuves
• La protection des bâtiments et installations publics et de leurs abords
• La protection des intérêts de la défense nationale et des établissements, installations et ouvrages d’importance vitale
• La régulation des flux de transport
• La surveillance des rodéos routiers
• La surveillance des littoraux et des zones frontalières
• Le secours aux personnes

Ces images pourront en outre être diffusées en temps réel au poste de commandement, même en l’absence de menace sur les biens ou les personnes.

Des finalités jugées « très larges, diverses et d’importance inégale » qui peuvent conduire à une banalisation de l’usage des drones, en contrariété avec le principe de limitation ou de proportionnalité. Or, cet usage doit normalement « être limité à certaines finalités et missions précisément définies par la loi, pour lesquelles des dispositifs moins intrusifs se sont révélés insuffisants ».

Une certitude : « le constat des infractions et la poursuite de leurs auteurs par la collecte de preuves » ne peut être autorisé selon la CNIL. Elle demande que le législateur définisse précisément les infractions graves, qui seules seront susceptibles de nécessiter l’envol de ces drones.

Même remarque pour la protection des bâtiments et installations publics et de leurs abords ou le secours aux personnes. Là encore, il faudrait réserver ces usages aux situations les plus épineuses. Dans tous les cas, il faudra s’assurer que « les circonstances précises des missions menées justifient l’emploi de ces dispositifs, et ce pour une durée adaptée à ces circonstances ». Elle suggère des précisions législatives, outre la mise en place de lignes directrices pour permettre de jauger la proportionnalité.

Le texte interdit certes de filmer l’intérieur des domiciles ou de leurs entrées, mais la CNIL doute de l’effectivité de cette garantie. Faute de mieux, elle recommande des solutions destinées à « bloquer la retransmission des images selon certaines caractéristiques de vol », comme l’altitude, le niveau de zoom ou la zone survolée. Autre piste : rendre anonymes les données collectées pour la finalité liée à la régulation des flux de transport (on pense ici aux plaques d’immatriculation).

Derniers missiles sol-air, dans le silence des textes, considère la Commission, l’usage de micros couplés à ces drones sera interdit, tout comme le recours à la reconnaissance faciale ou à l’interconnexion de fichiers. Des amendements avaient été déposés pour matérialiser cette interdiction, ils furent tous rejetés par le groupe LREM. La précision apportée par la CNIL est donc riche de conséquences.

Les caméras un peu trop individuelles

La proposition de loi, portée par les députés Alice Thourot et Jean-Michel Fauvergue, ouvre la possibilité pour les forces de l’ordre de déporter les images captées par les caméras mobiles à un centre de commandement, en temps réel. Ce, dès lors que « la sécurité des agents de la police nationale ou des militaires de la gendarmerie nationale ou la sécurité des biens et des personnes est menacée ».

Les autorités pourront se servir de ces enregistrements pour combattre les faits jugés « alternatifs » et diffusés en boucle sur les réseaux sociaux, afin d’informer le public sur les circonstances de l’intervention. La CNIL réclame de solides garanties pour « préserver les libertés individuelles et publiques attachées à l’anonymat dans l’espace public en recourant par exemple à des solutions techniques de floutage ».

L’agent pourra aussi consulter ces images « dans le cadre d’une procédure judiciaire ou d’une intervention ». La mesure est considérée comme légitime par la CNIL, mais celle-ci réclame que les textes d’application décrivent « précisément les missions et circonstances justifiant cet accès ». Et elle annonce déjà qu’elle lancera des contrôles pour s’assurer que l’intégrité des enregistrements est bien assurée en pratique.

L’usage malveillant des images des policiers, déjà sanctionné

Au détour de son avis de 12 pages, elle revient sur l’article 20 bis de la proposition de loi. Aujourd’hui, sur décision de la majorité des copropriétaires, les images des caméras installées dans les parties communes des immeubles d'habitation peuvent être transmises aux policiers et gendarmes. Cet accès est possible seulement « lors de circonstances faisant redouter la commission imminente d'une atteinte grave aux biens ou aux personnes ».

Suite à un amendement porté par Alice Thourot (LREM), la diffusion pourra se faire « en cas d’occupation par des personnes qui entravent l’accès et la libre circulation des locataires ou empêchent le bon fonctionnement des dispositifs de sécurité et de sûreté ou nuisent à la tranquillité des lieux ». Ces critères d’accès sont jugés très, pour ne pas dire trop, larges. La CNIL demande que la formulation soit « resserrée ».

La Commission n’a pas fait l’économie d’un examen de l’article 24 sur le visage des policiers, celui sur lequel se sont concentrées de nombreuses critiques, de la presse et dans des manifestations. Le texte punit d’un an d’emprisonnement et de 45 000 euros d’amende le fait de diffuser, dans le but manifeste de porter atteinte à l’intégrité physique ou psychique, l’image du visage d’un policier ou d’un gendarme, ou de n’importe quel autre élément d’identification.

Elle rappelle utilement que ces utilisations d’images constituent des traitements de données à caractère personnels. Or un usage à des fins malveillantes n’est pas une finalité légitime au regard de la loi de 1978. Conclusion : il est déjà possible de les réprimer.

La proposition de loi sera prochainement examinée en commission des lois, avant son examen en séance au Sénat.

• Télécharger la délibération de la CNIL

PricewaterhouseCoopers (PwC), l'un des quatre grands cabinets d'audit et de conseil, a identifié une liste de 7 « mégatendances » en matière de protection de la vie privée à l'horizon 2030. Cette « feuille de route pour les PDG » serait susceptible de leur faire gagner « des avantages concurrentiels durables » par rapport à ceux qui n'en ont cure.

PwC explique que son équipe de « plus de 600 professionnels de la protection de la vie privée dans plus de 40 pays » a identifié ces 7 « mégatendances » aux termes d'une analyse effectuée en trois étapes  :

• Nous avons effectué une méta-analyse des rapports sur les mégatendances publiés par huit maisons de stratégie pour identifier les tendances potentielles;
• Nous avons construit un modèle de lien de cause à effet des tendances candidates pour identifier les relations entre elles; et
• Nous avons classé leur probabilité et leur impact sur les indicateurs du marché local à l'échelle mondiale.

Chacune d'entre elles est suivie de conseils destinés à aider les PDG à identifier les vecteurs et déclencheurs susceptibles de les déployer, mais qui concernent également l'ensemble des salariés, clients et consommateurs.

PwC estime au premier chef que « convertir les données en valeur de manière sûre et éthique est l'impératif commercial de la prochaine décennie. Celui qui contrôle le cycle de vie de ses données dirigera le plus son destin (...) à mesure que la valeur perçue des données augmente, elles deviendront une cible accrue de l'espionnage des entreprises et de cyberattaques étatiques », intensifiant le besoin d'intégrité et d'authentification des données.

D'autant que « dans le même temps, le déploiement croissant de l'intelligence artificielle, de la robotique et d'autres technologies ayant un impact sur la vie privée créera de nouveaux risques en matière d'éthique des données ».

Ce pourquoi les entreprises qui se positionneront « sur une éthique des données et des technologies alignées » auront des avantages par rapport à la concurrence.

Vers une « application automatisée de la confidentialité »

Il table, en second lieu, sur un régime « tripolaire » de réglementation de la protection de la vie privée autour des modèles européens, américains ou chinois.

Partant du constat que « les pays continueront à voir des avantages au cours de la prochaine décennie en adoptant de nouvelles réglementations sur la protection de la vie privée », les différentes exigences et l'application des trois pôles pousseront les multinationales à repenser la migration vers le cloud, et à « modifier l'équilibre du modèle opérationnel mondial entre ce qui est centralisé et ce qui est régionalisé ».

Troisième mégatendance : « l'application automatisée de la confidentialité ». PwC estime en effet que les entreprises seront confrontées à une exposition accrue sur ces questions : « les régulateurs sont à court de ressources et sous pression pour produire des résultats, et plusieurs d'entre eux obtiennent de plus grandes autorités d'application ainsi que des niveaux maximums d'amendes et de pénalités plus élevés ».

Dès lors, « les approches traditionnelles de la conformité à la vie privée qui se concentrent sur la documentation papier des politiques et des procédures se révéleront inadéquates à cet examen numérique continu ».

Les entreprises de la Big Tech seront au surplus �� au centre des préoccupations des régulateurs et des militants et se trouveront exposées à des amendes, des sanctions, des poursuites et un examen public croissants ».

PwC anticipe, en quatrième lieu, le fait qu'« une part croissante des consommateurs sera prête à quitter les entreprises auxquelles ils sont fidèles s'ils trouvent un concurrent capable de leur offrir les mêmes ou de meilleures commodités, mais avec un contrôle et une valeur plus fiables de leurs données ».

Les entreprises qui ont le plus à gagner seront dès lors « celles qui peuvent dépasser leurs concurrents en offrant une meilleure combinaison de prix, de qualité de produit, de service et de flexibilité des contrôles de confidentialité, d'accès aux données, de portabilité, de correction, de restriction d'utilisation et d'effacement ».

Vers une « pénurie de talents en ingénierie de la confidentialité »

PwC estime par ailleurs que « la pandémie COVID-19 a accéléré le suivi technologique des entreprises du statut et de la productivité des employés », et que « les technologies telles que la reconnaissance faciale et l'intelligence artificielle pourraient être utilisées pour accroître les disparités raciales et socio-économiques ».

Une cinquième mégatendance consisterait dès lors à déployer « un programme de protection de la vie privée des employés, une culture de confidentialité positive endémique, de performance et d'impact éthique des nouvelles technologies et des utilisations des données sur le lieu de travail ». Il s'agirait d'offrir aux employés « les moyens de gérer leur vie privée au travail et à la maison, y compris des moyens pour sécuriser le travail à domicile ».

Pour survivre et prospérer à travers les tendances susmentionnées, les entreprises les plus touchées « appliqueront de nouvelles normes plus strictes dans leur entreprise et à travers leurs chaînes d'approvisionnement et leurs chaînes de valeur des données ».

La sixième mégatendance viserait à « établir des normes technologiques de confiance, codes de conduite et programmes de certification » dans tous les aspects de l'entreprise afin de bénéficier d'« avantages concurrentiels auprès des entreprises clientes, des consommateurs finaux et des employés ».

PwC estime à ce titre que « la demande de personnes capables d'appliquer des exigences de confidentialité complexes à des problèmes commerciaux dépassera l'offre » et entraînera, septième mégatendance, une « pénurie de talents en ingénierie de la confidentialité ».

Les six autres mégatendances de la protection de la vie privée vont en effet « toutes dans cette direction : un besoin mondial et soutenu de concevoir de nouvelles technologies de confiance et de normes d'éthique des données ».

Dès lors, les besoins vont aussi augmenter en personnels formés en science, technologie, ingénierie et mathématiques, « déjà très demandés, ainsi que pour ceux formés en philosophie et en éthique ». De plus, les ingénieurs devront acquérir une expertise en matière de confidentialité, « tandis que les avocats devront acquérir une connaissance approfondie de la technologie et de l'éthique ».

Les multinationales qui « adoptent l'approche traditionnelle consistant à compter sur une ou deux personnes dans leur service juridique pour répondre à tous leurs besoins en matière de confidentialité ne répondront pas à leurs objectifs commerciaux 2030 liés à la technologie ou aux données ».

Ils seront même « surclassés par la concurrence, connaîtront des taux plus élevés d'attrition des consommateurs et des employés, et des cycles de vente plus lents », tout en absorbant « de plus en plus de risques ».

« Les entreprises qui naviguent le mieux dans ces sept mégatendances de la vie privée de la prochaine décennie obtiendront des avantages concurrentiels durables par rapport à celles qui poursuivent les approches de sprint qu'elles avaint suivies pour, par exemple, la préparation au RGPD », conclut PwC.

La grande loi sur l’audiovisuel ayant été abandonnée et le projet de loi sur le piratage encore incertain, les députés LREM ont déposé une proposition de loi dédiée au monde du sport. Des dispositions s'attaquent tout particulièrement aux contrefaçons dans ce secteur, armées d'ambitieux outils. Explications.

Avec leur proposition de loi destinée à « démocratiser le sport en France », les parlementaires de la majorité veulent « faciliter l’accès aux pratiques physiques et sportives pour tous les Français, et notamment ceux qui en sont aujourd’hui les plus éloignés ».

Cet objectif « implique de faciliter l’accès aux infrastructures, multiplier les aménagements de plein air et de mener des actions de sensibilisation, d’améliorer le quotidien des bénévoles et des pratiques en club dans un cadre d’organisation renouvelé ».

Mais pas seulement. Crampons aux pieds, les députés LREM profitent de la fenêtre pour intensifier la lutte contre la retransmission illicite des manifestations et compétitions sportives. La raison nous avait été expliquée par Aurore Bergé : quand les droits du foot baissent en valeur, « ce n’est pas juste la ligue qui va en souffrir, c’est tout le financement du foot amateur, votre gamin qui va à son club le dimanche, club qui bénéficie du financement de la ligue grâce à la taxe Buffet ».

La taxe sur la cession de droits télévisés d'événements sportifs prévue à l’article 302 bis ZE du Code général des impôts. Son taux est fixé à 5 % du montant des encaissements. Son produit « atteint environ 50 millions d’euros, contribue au financement du sport à hauteur d’une part plafonnée, augmentée en 2019 de 25 à 40 millions d’euros », chiffre sur ce point, le rapport de la députée relatif à la communication audiovisuelle. 

Le sujet des compétitions sportives avait déjà intéressé la Hadopi et le CSA. En mars 2020, dans une étude écrite à quatre mains, les deux autorités relevaient aussi que « les éditeurs de télévision, en particulier les chaînes payantes, subissent la concurrence déloyale d’acteurs illégaux qui captent une audience importante sans jamais avoir acquis de droits de diffusion de compétitions sportives ». « La consommation d’offres illégales constitue une perte et génère un manque à gagner en termes d’abonnements et d’audience ». 

Une trousse à outils taillée contre le streaming illicite

Le texte veut compléter le Code du sport avec un arsenal taillé pour la lutte contre le piratage de ces compétitions, notamment en streaming. Concrètement, une chaine ou une ligue sportive pourra saisir le président du tribunal judiciaire pour obtenir « toutes mesures proportionnées propres à prévenir ou à faire cesser cette atteinte, à l’encontre de toute personne susceptible de contribuer à y remédier ».

La plume est volontairement floue et généreuse pour permettre à la juridiction d’envisager toutes les mesures possibles pour faire cesser l’atteinte à ses intérêts. Cette procédure devra concerner un site qui diffuse de manière répétée des matchs (de foot ou autre) sans autorisation.

La mesure envisagée est particulièrement ambitieuse puisque le texte autorise le président du tribunal judiciaire à ordonner, au besoin sous astreinte, la mise en œuvre de ces mesures de blocage pour chacune des journées du championnat, ce sur un an.

Le blocage, le retrait ou le déréférencement pourra donc être décidé avant que l’infraction ne soit répétée. Mieux, la décision pourra viser un site nommément ou même un site qui n’a pas encore été identifié à date. C’est le système de l’ordonnance dynamique qui devrait rendre jalouses les industries culturelles.

Un blocage des sites futurs, via une ordonnance dynamique

Pour s’attaquer à ces sites ou miroirs futurs, la ligue ou la chaîne communiquera aux FAI ou encore aux moteurs leurs « données d’identification nécessaires » en suivant les modalités recommandées par la Hadopi. Soit une sorte de liste noire que les FAI auront à bloquer.

Dans ce cadre, la Haute Autorité pour la diffusion des œuvres et la protection des droits sur internet se voit en outre chargée d’établir des modèles d’accord type que les parties prenantes (titulaires de droits, ligues professionnelles, les chaînes, les FAI, et toute personne susceptible de contribuer à remédier aux atteintes) seront invitées à signer.

Ces accords détermineront :

• les conditions d’information réciproque en cas de violations des droits
• les mesures qu’elles s’engagent à prendre pour les faire cesser
• l’intervention, si nécessaire, de la Hadopi pour constater l’existence de ces violations et la répartition du coût de ces mesures

Des agents de la Hadopi assermentés

Le texte entend également assermenter les agents de la Hadopi à constater les faits susceptibles de constituer des atteintes aux droits des acteurs concernés. Ils pourront agir directement, ou sur saisine du titulaire de droits, de la ligue ou de la chaîne.

Ils pourront dans ce cadre,

• Participer sous un pseudonyme à des échanges électroniques
• Reproduire des œuvres
• Extraire, acquérir ou conserver des éléments de preuve
• Acquérir et étudier les matériels et logiciels propres à faciliter la commission des atteintes aux droits (en pense aux box Kodi)

Leurs constats seront consignés dans un procès-verbal. Ces agents Hadopiens seront même habilités à informer les titulaires de droits, la ligue professionnelle ou la chaîne de TV « des faits qu’ils ont constatés et leur communiquer tout document utile à la défense de leurs droits ».

Leur constat permettra de nourrir leur mission (notamment en amont de l’identification de ces sites), et faciliter les actions des acteurs privés, outre l’exécution des décisions de justice à l’égard des sites miroirs. Pour ces derniers, voilà un moyen économique de déporter sur l’État la charge des différents constats qu’ils auraient normalement été amenés à dresser.

La Commission copie a décidé d’enclencher la guerre aux produits reconditionnés. Le sujet a été inscrit au programme, et les ayants droit sont en ordre de bataille. L’hypothèse d’un barème de redevance sur ces supports d’occasion fait sursauter le secteur. Interview de Benoît Varin, cofondateur de Recommerce.

Le 26 mai 2020, nous révélions le projet des ayants droit, collecteurs de cette ponction culturelle sur les produits neufs : assujettir le marché des biens d’occasion reconditionnés. Et pour avancer sur un tel chantier, rien de mieux qu’un bulldozer.

Les sociétés de gestion collective comme la SACEM, via leur société civile Copie France, ont assigné plusieurs spécialistes du reconditionnement. Dans l'esprit des ayants droit, reconditionner un produit, c’est lui redonner une nouvelle vie auprès d’une nouvelle personne. Et comme celle-ci peut réaliser des copies légales d’œuvres sur un téléphone d’occasion, la redevance s’applique sans nuance afin de compenser la liberté de chacun de réaliser des duplications d’œuvres. 

En décembre dernier, le fidèle Jean Musitelli, président de la Commission administrative chargée de définir le barème et le taux de cette ponction que perçoivent les industries culturelles, a décidé d’inscrire le sujet à l’ordre du jour.

Et, sans surprise, les ayants droit se sont proposés de réaliser (et payer) les études d’usages qui permettront de jauger les pratiques de copie auprès d’un panel. Ces études permettront ensuite de détailler un barème spécifique sur les biens de seconde vie, en fonction des résultats.

Avantage de ce « sacrifice » financier ? La commission n’aura pas à respecter les règles des marchés publics, enfermées dans des délais jugés trop longs au regard des appétits culturels.

Au Parlement, se joue une bataille parallèle. Un amendement porté par Patrick Chaize a été adopté au Sénat dans le cadre de la proposition de loi visant à réduire l’empreinte environnementale du numérique. Il prévoit que la redevance pour copie privée « n’est pas due non plus lorsque les supports d’enregistrement sont issus d’activités de préparation à la réutilisation et au réemploi de produits ayant déjà donné lieu à une telle rémunération. »

Un amendement soutenu à titre personnel par Cédric O, qui a dû malgré tout porter l’avis « défavorable » du gouvernement, Jean Castex et la Culture étant opposés à cette restriction. Le texte part maintenant devant les députés, où le groupe LREM est en force.

Face à l’appétit du secteur culturel, les professionnels du reconditionnement sont vent debout. Ils dénoncent cette compensation sur les biens reconditionnés qu’ils vivent comme une « taxe ». En témoigne notre échange avec Benoît Varin, cofondateur de Recommerce, spécialisé dans les smartphones reconditionnés.

Quel est aujourd'hui le poids du marché du reconditionné en France ?

Sur le smartphone, l’étude annuelle Recommerce - Kantar, estime à 2,2 millions le nombre de téléphones reconditionnés vendus chaque année en France. En valeur, sur un site Internet comme Recommerce.com, le prix des modèles reconditionnés varie entre 69,90€ et 1279,90€ pour un prix moyen pondéré de vente de 190€.

Pour l’instant on n’a pas de barème copie privée spécifique aux produits reconditionnés. À combien estimez-vous la majoration ?

Selon les annonces, la société Copie France souhaite taxer les produits d'occasion jusqu’à 14 euros sur les smartphones de plus de 64 Go, leurs barèmes étant déterminés en fonction des capacités et de l’usage. Cependant la redevance copie privée normalement compense un préjudice lié à des copies légales et s’applique à la première mise sur le marché. Selon le Code Civil, il n’y a qu’une seule mise sur le marché. Les produits neufs étant déjà taxés lors de la première mise sur le marché, les produits reconditionnés ne devraient donc pas être taxés plusieurs fois.

Certes, mais des produits peuvent être reconditionnés à l’étranger, sans avoir subi la redevance française…

Cela dépend, puisque des produits européens sont aussi taxés par des redevances, comme en Allemagne. Pour notre part, nous réclamons déjà une harmonisation européenne et surtout que l’on ne paye pas plusieurs fois la redevance, cette redevance pouvant être assimilée à une taxe par le consommateur payeur.

Vous craignez donc un barème français qui soit plus élevé en Europe influant les décisions des consommateurs ?

Exactement. Cela va inciter les consommateurs à acheter des produits dans des pays où la Redevance n’existe pas ou parce que le barème y sera moins élevé ou encore auprès de sites de vente en ligne notamment où la redevance ne semble pas être payée. Cela risque de faire comme ce qu’il se passe sur les marketplaces où les fraudes à la TVA sont nombreuses.

En frappant le reconditionné, il y aurait en effet deux redevances sur le même produit, mais les ayants droit estiment que cela concerne aussi deux utilisateurs et donc deux usages successifs...

On ne comprend pas trop ce mécanisme qui n’existe pas dans le droit. S’il faut taxer à chaque fois qu’il y a un changement de main, cela signifierait de taxer à chaque échange ou transaction de produits d’occasion, et donc de réclamer la redevance lors d’échange entre particulier et par exemple chaque fois qu’un consommateur vend un disque dur externe d’occasion?

Pourquoi seuls les acteurs industriels qui emploient des salariés en France, qui investissent dans des formations de techniciens, qui garantissent la qualité des produits devraient payer cette redevance ? C’est une attaque au secteur de l’occasion en général et aux acteurs professionnels francais en particulier que nous sommes en train de subir.

Quelles seraient les conséquences d’un tel assujettissement ?

Les menaces sont multiples et importantes. Il y a des risques de voir beaucoup d’entreprises fermer en France puisque cela impacterait le modèle économique des acteurs professionnels de l’occasion. On anticipe aussi des délocalisations et des pertes de compétitivité face aux produits neufs qui sont vendus de moins en moins cher, face aussi aux produits reconditionnés vendus venant de pays où les barèmes sont moindres voire nuls. S’ils nous taxent à 14 euros sur certains produits, je ne vois pas comment on peut rester compétitif.

Côté consommateur, c’est aussi le risque de faire perdre l’intérêt d’acheter ce type de produit et finalement lui faire perdre du pouvoir d’achat. Tôt ou tard, les acteurs économiques se diront « autant acheter un neuf low cost comme un smartphone 5G à 250 euros ».

Avez-vous eu des échanges avec le gouvernement, soit directement ou par le biais d’un syndicat ?

Oui, on est très engagé au sein de la Fédération professionnelle du réemploi et de la réparation (Rcube.org), que l’on préside en tant que Recommerce. Nous discutons avec le gouvernement et avons sensibilisé les parlementaires aux enjeux. On leur a expliqué les enjeux pour notre secteur de cette menace qui pèse sur le secteur du réemploi.

Cette redevance est obsolète. Elle date du magnétophone, des cassettes VHS, des disquettes… à l’heure du streaming, les habitudes des consommateurs se tournent vers Netflix, les vidéos à la demande, Deezer… Qui vraiment aujourd’hui utilise son téléphone pour faire des copies ?

Elle n’est pas seulement obsolète, elle est aussi inadaptée. Elle n’a pas été prévue pour aider les artistes en situation de crise, mais à faire respecter le cadre légal du respect du droit d’auteur. Il semble y avoir un mélange des genres où la culture utilise la crise pour essayer de taxer le reconditionné, alors que notre secteur n’est pas du tout stabilisé et est en phase de construction.

Cédric O s’est dit particulièrement sensible à l’amendement Chaize protégeant le reconditionné, mais il a été tenu par le gouvernement de porter un avis défavorable…

Il y a des pressions de la part du monde de la culture et un gouvernement partagé entre le soutien au tissu industriel français tourné vers le reconditionnement et le numérique responsable, et le soutien au monde de la culture, aujourd’hui dans une situation très difficile du fait de la fermeture des salles.

Nous, acteurs du reconditionné, on veut bien faire beaucoup de choses, respecter la loi, payer des taxes en France, recruter, former, innover…, mais on ne peut pas être la solution à cette crise. On ne peut pas se permettre d’être taxé pour essayer de sauver la culture. D’un, les montants ne seraient pas suffisants, de deux ce n’est pas légal au regard du Code civil et du Code de la propriété intellectuelle, selon lesquels on ne peut taxer le produit qu’une seule fois, lors de la mise en circulation.

Quid des conséquences sur le terrain de l’écologie ?

Très clairement, augmenter par exemple de 10 % le prix d’un produit reconditionné entraînera mécaniquement une réduction de l’offre en produits responsables, la réparation deviendrait mécaniquement plus chère et cela aboutirait à un ralentissement de l’économie circulaire en France.

Cela serait dramatique pour tout ce que font les entrepreneurs militants engagés pour un autre monde, plus respectueux des ressources. Prolonger la vie des produits, c’est très clairement lutter contre le réchauffement climatique. Si le modèle économique de la réparation est touché, il sera plus difficile de créer des emplois locaux et d’investir en France dans ce nouveau secteur, cela serait effectivement dramatique pour ce changement de système qu’il faut arriver à enclencher.

80 % de l’impact environnemental vient de la production de produits manufacturés : les matières premières, le transport, la transformation des micropuces, etc. Plus on prolonge la durée de vie du produit, plus on amortit le sac à dos écologique et donc plus on limite cet impact sur l’environnement.

Faites-vous partie des sociétés assignées par Copie France ? Que vous réclame-t-elle ?

Oui. On pense que plus d’une trentaine d’entreprises ont été assignées, pour un montant total représentant près de 100 millions d’euros. Copie France nous réclame nos chiffres depuis le début de la société et une rétroactivité qui serait de cinq ans avec des montants réclamés de plus de 30 millions d’euros par an.

Concrètement, Copie France veut connaître votre sortie de stock et multiplier le total par 14 euros pour les smartphones supérieurs à 64 Go ?

Vous avez tout compris. Depuis qu’on existe, on a vendu plus de 3,3 millions de téléphones. Ce qui représenterait 46,2 millions d’euros pour la somme des mobiles vendus. Comprenez que l’on se sente un peu menacé.

Nous sommes au tribunal. Une procédure est en cours, alors que notre argument est simple : cette rétroactivité n’existe pas, cette taxe Copie privée n’existe pas sur les produits reconditionnés. Rien officiellement ne nous dit que les produits reconditionnés doivent payer une nouvelle fois sans passer par une loi, une nouvelle réglementation.

Comment donc un organisme indépendant de tout contrôle démocratique et privé comme Copie France pourrait d’un seul coup créer une nouvelle redevance pouvant être considérée comme une taxe payée par les consommateurs ? C’est surprenant.

Le film d'Oliver Stone consacré à Edward Snowden et à la « surveillance de masse » était sous-titré « Nous sommes tous sur écoute ». Le texte expliquant ce que les employés de la NSA ont le droit faire, ou pas, évoque certes une « collecte en vrac », mais « très éloignée d'une approche totalement illimitée ».

Ancien sous-procureur général adjoint au ministère de la Justice américain, David Kris avait supervisé les questions de sécurité nationale à la Justice de 2000 jusqu'à son départ du département en 2003.

En 2006, il avait rendu publique une note (.pdf) de 23 pages contestant la légalité d'un programme d'espionnage permettant à la NSA d'intercepter, sans mandat, les communications internationales impliquant des citoyens et des résidents américains.

Une critique que le Washington Post avait alors qualifiée de « dissidence publique inhabituelle de la part d'un ancien fonctionnaire de l'administration ».

Kris avait par la suite été désigné membre du National Security Agency Advisory Board (NSAAB, ou NSA Emerging Technologies Panel, qui n'existe plus), composé d'experts nationaux dans divers domaines techniques chargés d'« étudier, évaluer et conseiller périodiquement le directeur de la NSA sur la recherche, le développement et l'application des progrès scientifiques et technologiques existants et émergents, les progrès du chiffrement et d'autres sujets ».

Ces dernières années, il a beaucoup écrit à ce sujet sur Lawfare, le blog juridique de référence sur les questions de sécurité nationale aux États-Unis. Le 15 janvier, il y a publié un mémo de 78 pages de décryptage d'une « Annexe SIGINT » (pour SIGnal INTelligence) de 44 pages (dont 35 de directives, et un glossaire de 7 pages), en grande partie déclassifiée, le 7 janvier dernier, et mise en ligne par la NSA le 13. 

Ce vademecum technico-juridique et très complexe, à mesure qu'il a été rédigé à l'intention des praticiens de la NSA qui ont le « droit d'en connaître » sur ses modus operandi, est destiné à mettre à jour une précédente directive qui ne l'avait pas été depuis mai 1988, alors même que la téléphonie mobile et Internet ont depuis révolutionné le SIGINT.

« L'annexe SIGINT est une réalisation très importante », écrit Kris. Elle met à jour les règles régissant le SIGINT « afin de refléter les développements constitutionnels, statutaires, technologiques et opérationnels des trois dernières décennies. Le temps qu'il a fallu pour y parvenir témoigne du défi que représente cette tâche et des efforts de ceux qui l'ont menée à bien ».

Mais pour l'appréhender, il faut d'abord revenir sur l'histoire de la NSA, et donc aussi du droit et des lois en matière de surveillance et d'interception des télécommunications. Voilà pourquoi le texte de Kris est plus long que celui de la NSA. Et pourquoi nous avons scindé notre compte-rendu en deux parties : une première sur l'histoire de la régulation de la NSA, une seconde sur la nouvelle annexe SIGINT.

Notre dossier sur les agents de la NSA :

• Ce que peuvent faire les agents de la NSA (ou pas) 1/2
• Ce que peuvent faire les agents de la NSA (ou pas) 2/2 (à venir)

« La NSA est la seule entité du gouvernement qui écoute "vraiment" »

En exergue de son mémo, Kris rappelle « une vieille blague selon laquelle la NSA est la seule entité du gouvernement fédéral qui écoute "vraiment" ». Pour autant, précise-t-il, « l'annexe SIGINT n'est pas facile à lire, en partie parce qu'elle est conçue pour les opérateurs et analystes SIGINT professionnels. C'est l'un des principaux moyens par lesquels la NSA se parle de ce qui est et n'est pas autorisé à chaque étape du cycle de vie du SIGINT. Cela comprend la collecte, le traitement, l'interrogation, la conservation et la diffusion de renseignements SIGINT ».

Ce pourquoi, spécialiste de ces questions, Kris a décidé de l'expliquer d'une manière qui serait plus accessible aux « outsiders ». Il propose en outre un historique de l'interception des télécommunications par l'armée américaine, remontant jusqu'aux prémisses de la deuxième guerre mondiale.

On y découvre notamment qu'en 1940, le gouvernement avait résolu un différend entre les multiples branches militaires en charge du SIGINT en divisant la couverture du trafic diplomatique japonais de sorte que l'armée était responsable du décryptage, de la traduction et des rapports les jours pairs du mois, et la marine était responsable les jours impairs...

Ce genre de bisbilles shadokiennes finirent par déboucher sur la création de la NSA, en 1952, bien que son existence n'ait été officiellement reconnue qu'en 1957, et qu'elle fut encore pendant très longtemps surnommée « No Such Agency » [l'agence qui n'existait pas, ndt].

Kris revient également sur les nombreux programmes secrets de la NSA ayant violé le droit à la vie privée des citoyens américains. Il y est donc question de SHAMROCK qui, pendant 30 ans et jusqu'en 1975, lui permit de recevoir la copie de millions de télégrammes internationaux, à raison de 150 000 par mois. Ainsi que de MINARET, qui lui permit d'espionner les télécommunications de militants pacifistes et de personnalités telles que Martin Luther King ou Jane Fonda, et dont la révélation a contribué à l'adoption du FISA.

« Les réseaux numériques ont réduit à la fois la vie privée et la sécurité »

Pour Kris, « la seule question importante est peut-être de savoir si l’annexe SIGINT donne au gouvernement plus ou moins d’autorité qu’il n’en jouissait auparavant » :

« Ceux qui cherchent une réponse simple ou singulière à cette question seront déçus. D'une part, si l'annexe SIGINT est en grande partie non classifiée, il reste quelques règles SIGINT qui le sont. En outre, la version antérieure de l'annexe SIGINT a été révisée pour la dernière fois en substance dans les années 80 – un fait étonnant – et les environnements juridiques et technologiques du SIGINT ont beaucoup évolué depuis.

En 1988, lors de la dernière révision importante de l'annexe précédente, l'Internet ne faisait pas encore partie de la vie quotidienne. Certains éléments du gouvernement américain prétendent qu'ils "vont dans le noir" ["going dark", en VO, ndt] en raison des changements technologiques, tandis que les défenseurs des libertés civiles et d'autres affirment que la technologie a créé un "âge d'or de la surveillance" ["golden age of surveillance", ndt].

Mon propre point de vue est que la technologie des réseaux numériques a réduit à la fois la vie privée et la sécurité, mais en tout cas il ne fait aucun doute que la technologie a eu un impact majeur sur le SIGINT. Les changements constitutionnels, législatifs et technologiques compliquent tout effort de comparaison de l'autorité relative du SIGINT en 1988 et aujourd'hui .»

Il estime en outre que « la conclusion du document pourra intéresser un groupe différent de professionnels : ceux qui sont impliqués dans le débat en cours Schrems-RGPD concernant les transferts de données transfrontaliers entre les États-Unis et l'Europe ». Elle résume en effet certaines des principales protections pour les personnes américaines (et les personnes aux États-Unis), ainsi que certaines des protections pour les personnes non américaines situées à l'étranger.

Du Watergate à la commission Church

Kris y rappelle tout d'abord que le SIGINT « consiste à collecter des renseignements étrangers à partir des systèmes de communication et d'information et de les fournir à des clients du gouvernement américain, tels que de hauts responsables civils et militaires ». 

Suite du scandale du Watergate, et à la révélation de plusieurs programmes secrets permettant aux services de renseignement américain d'espionner des citoyens américains opposés à la guerre du Vietnam notamment, le Sénat instaura en 1975 une commission dite Church, du nom de son président, afin de déterminer si et « dans quelle mesure, le cas échéant, des activités illégales, irrégulières ou contraires à l'éthique étaient menées par un organisme du gouvernement fédéral ».

Elle entraîna notamment l'adoption du Foreign Intelligence Surveillance Act (FISA) de 1978, destiné à réglementer la surveillance physique et électronique ainsi que la collecte d'informations de « renseignements étrangers » entre « puissances étrangères » et « agents de puissances étrangères » soupçonnés d'espionnage ou de terrorisme.

Il permet au ministère de la justice d'obtenir des mandats du Foreign Intelligence Surveillance Court (FISC) avant ou jusqu'à 72 heures après le début de la surveillance. La FISA autorise un juge du FISC à délivrer un mandat s'« il y a une raison probable de croire que la cible de la surveillance électronique est une puissance étrangère ou un agent d'une puissance étrangère ».

Le FISA permet en outre au président ou à son délégué d'autoriser une surveillance sans mandat pour la collecte de renseignements étrangers s'« il n'y a pas de probabilité substantielle que la surveillance acquière le contenu de toute communication à laquelle un ressortissant des États-Unis est partie ».

D'Al Quaida à Stellar Wind

Suite aux attentats du 11 septembre 2001, Georges Bush valida un programme, Stellar Wind, qui autorisait des interceptions sans mandat lorsque le gouvernement avait « une base raisonnable pour conclure qu'une partie à la communication est membre d'Al-Qaida, affiliée à Al-Qaida, ou membre d'une organisation affiliée à Al-Qaida, ou travaillant pour soutenir Al-Qaida et que l'une des parties à la conversation était "en dehors des États-Unis" ».

Dans les fait, Stellar Wind permettait le data mining d'une vaste base de données de communications des citoyens américains, y compris les communications par courrier électronique, les conversations téléphoniques, les transactions financières et les activités sur Internet.

La révélation de son existence dans la presse fit scandale, et contribua l'adoption du FISA Amendments Act de 2008 (FAA). Cette loi rendit illégal le fait de se livrer intentionnellement à une surveillance électronique sous l'apparence d'un acte officiel ou de divulguer ou utiliser des informations obtenues par surveillance électronique sous l'apparence d'un acte officiel, en sachant que cela n'a pas été autorisé par la loi.

Son article 702 permet au Procureur général des États-Unis et au Directeur du renseignement national d'autoriser conjointement le ciblage des personnes censées être raisonnablement situées à l'extérieur des États-Unis, mais elle est limitée au ciblage des personnes non américaines. Une fois autorisées, ces acquisitions de données (SIGINT) peuvent durer pendant des périodes allant jusqu'à un an.

En vertu du paragraphe 702 (b) de cette loi, une telle acquisition de données est cela dit soumise à plusieurs limitations. Plus précisément, une telle surveillance :

• ne doit pas viser intentionnellement une personne située aux États-Unis lors de l'acquisition;
• ne doit pas viser intentionnellement une personne identifiée comme étant localisée à l'étranger si cette personne en particulier est généralement située aux États-Unis;
• ne doit pas viser un citoyen américain qui serait localisé en dehors des États-Unis;
• ne doit pas viser à acquérir toute communication à laquelle l'expéditeur et tous les destinataires sont connus au moment de l'acquisition comme étant localisés aux États-Unis;
• doit être menée d'une manière compatible avec le Quatrième amendement de la Constitution des États-Unis.

« Il est étonnant que la dernière modification significative remonte à 1988 »

Pour autant, souligne David Kris, « il reste beaucoup de SIGINT que le Congrès a, tout à fait intentionnellement, laissé non réglementé par la loi et non soumis à la juridiction de la Cour FISA », à commencer par les interceptions de télécommunications effectuées par des étrangers à l'étranger et ne transitant pas par le territoire américain.

Dans son rapport sur le projet de loi qui deviendrait la FISA, par exemple, la commission du renseignement de la Chambre reconnut que « les normes et procédures de surveillance à l'étranger peuvent devoir être différentes de celles prévues » par le FISA. Et le comité nota « avec approbation » l'existence d'un décret et de règlements pour régir cette surveillance.

L'« annexe SIGINT » publiée le 13 janvier et qui régit la collecte de renseignements par tous les éléments du ministère de la Défense, dont la NSA fait partie, est le descendant de ces règlements mentionnés par le Congrès, encadrant le SIGINT qui n'est pas soumis au FISA.

Pour autant, David Kris trouve tout de même « étonnant que la dernière modification significative de l'annexe précédente remonte à 1988, sous l'administration Reagan, une décennie après la FISA et seulement deux ans après la promulgation de Electronic Communications Privacy Act (ECPA) ».

Contrairement à ce que son nom laisse entendre, l'ECPA ne visait pas tant à protéger la vie privée des Américains, mais à faire du détournement de satellite un crime. La loi avait cela dit profité de l'occasion pour étendre les restrictions gouvernementales sur les écoutes téléphoniques afin d'y inclure les transmissions de données électroniques par ordinateur, et protéger les communications filaires, orales et électroniques pendant le transit.

Le piratage d'HBO, et des communications satellites de la CIA

L'ECPA avait en effet été adopté après qu'un hacker utilisant le pseudonyme « Captain Midnight » ait brouillé le signal satellite de la chaîne HBO pour y diffuser un message d'une durée de quatre minutes et demie. Vu par plus de la moitié des 14,6 millions d'abonnés, il protestait contre les tarifs de HBO pour les propriétaires d'antennes paraboliques, qu'il jugeait trop chers.

Ironie de l'histoire, le film d'espionnage dont il avait interrompu la diffusion, Le Jeu du faucon, raconte l'histoire vraie de deux jeunes Américains qui avait vendu des secrets concernant le chiffrement des communications et les satellites d'espionnage américains à l'Union soviétique dans les années 70.

En 1974, Christopher John Boyce avait en effet été promu à un poste très sensible, avec une habilitation de sécurité top secret, dans le « Black Vault » (centre de communications classifiées) de TRW, une entreprise aérospatiale qui travaillait pour les services de renseignement américain.

Lors de son procès, il expliqua avoir commencé à recevoir des câbles mal acheminés de la CIA discutant du désir de l'agence de déposer le gouvernement australien, parce que ce dernier voulait fermer les bases militaires américaines en Australie, y compris la station d'écoute de Pine Gap, et retirer les troupes australiennes du Vietnam.

Choqué, il aurait d'abord envisagé d'en parler à la presse, mais la divulgation antérieure par les médias de l'implication de la CIA dans le coup d'État chilien de 1973 n'ayant rien changé, Boyce préféra contacter l'URSS.

Il rassembla nombre de documents classifiés détaillant comment décrypter le trafic sécurisé des messages du gouvernement américain et les spécifications détaillées de ses derniers satellites d'espionnage, et demanda à son ami d'enfance Andrew Daulton Lee, un revendeur de cocaïne et d'héroïne, d'aller les revendre aux Soviétiques.

Mais Lee fut arrêté par la police mexicaine devant l'ambassade soviétique, le 6 janvier 1977, « presque par accident » : un policier qui l'avait vu jeter des documents sur le sol de l'ambassade soviétique l'arrêta pour jet de détritus, avant de le torturer, puis de découvrir qu'il avait un microfilm top secret en sa possession.

Condamné en 1977 à 40 ans de prison, Boyce s'échappa en 1980, braqua 17 banques dans l'espoir de s'enfuir en URSS, étudia l'aviation pour tenter de faire évader son comparse, avant d'être arrêté en 1981, et d'être de nouveau condamné à trois ans de prison pour évasion, et 25 ans pour ses braquages. Libéré sur parole en 2002, il a depuis plusieurs fois exprimé son soutien aux actions d'Edward Snowden.

L’extension de la redevance aux produits reconditionnés soulève de lourdes critiques de la part des acteurs du secteur. Les sociétés de gestion collective, qui collectent ces sommes, ont elles publié un communiqué pour rétablir leur version des faits. Présentation du texte, accompagné de nos commentaires. 

Deux camps s’affrontent actuellement. Les ayants droit qui ont déjà lancé une salve de procédures devant les instances judiciaires contre des reconditionneurs, tentent désormais d’obtenir un barème spécifique en Commission Copie privée.

Du côté des industriels du secteur, c’est la soupe à la grimace, et la crainte d’un écrasement des marges et derrière d’une fermeture de plusieurs d’entre eux, sans compter des effets néfastes pour la planète. 

Pour gagner une manche médiatique, les sociétés de gestion collective ont publié hier un communiqué. Communiqué que nous allons examiner, point après point.

« Copie privée : à qui profite le green ?
Les revendeurs de téléphones et appareils reconditionnés réclament une exonération de la rémunération pour copie privée, répandant depuis quelques jours dans la presse de nombreuses contre-vérités, qui risquent d’avoir des répercussions désastreuses sur un secteur culturel déjà lourdement éprouvé par la crise ».

La phase difficile traversée par les industries culturelles est une évidence. Spectacles repoussés, date après date, salle de ciné et musées, etc. fermés. Un rappel : ce secteur n’est pas le seul frappé puisque la crise sanitaire est aveugle et concerne l’ensemble des strates de la société.

Les reconditionneurs ne réclament pas uniquement une exonération de la « rémunération » pour copie privée, ils veulent surtout que ces produits ne soient pas soumis au même prélèvement plusieurs fois au fil de sa vie. Solution qui viendrait les pilonner, et faire payer les consommateurs plusieurs fois. 

« Non, la rémunération pour copie privée n’est pas une taxe !

La rémunération pour copie privée est la contrepartie d’un droit dont chacun bénéficie quotidiennement : celui de dupliquer librement des œuvres protégées (films, musiques, photos, livres…), acquises légalement, pour son usage personnel. En contrepartie, les auteurs, artistes et producteurs de ces œuvres reçoivent une rémunération qui compense le préjudice financier résultant de l’utilisation massive et gratuite de leurs œuvres. Ce mécanisme existe dans pratiquement toute l’Union européenne et n’a cessé de démontrer son caractère vertueux. Il profite à la fois aux consommateurs de biens culturels, aux créateurs, artistes et professionnels de la création artistique et apporte toujours plus de valeur aux smartphones, tablettes et appareils de stockage qui auraient moins d’intérêt sans la possibilité d’y stocker nos contenus culturels. »

Il est vrai que les sociétés spécialisées dans le reconditionnement ont fait une erreur. Ils ont parfois dépeint cette ponction comme une « taxe », de nature fiscale donc. Or, il n’en est rien.

Si elle était de nature fiscale, ce prélèvement serait examiné à l’Assemblée nationale et au Sénat, au fil de débats et rapports publics, avec d’épais rapports justifiant tel choix plutôt que tel autre. Ce n’est toutefois pas le projet de loi de finances qui vient fixer les montants prélevés sur les supports vierges pour compenser non « le droit », mais la « liberté » pour chacun de réaliser des duplications d’œuvres sans autorisation. C'est une commission administrative qui est chargée de fixer son assiette et ses taux.

Dans cette bataille sémantique, les industries culturelles ne sont pas en reste. Elles parlent non d'une « taxe », mais d'une « rémunération », le nez tout concentré sur le seul droit français. Le Code de la propriété intellectuelle parle effectivement de « rémunération pour copie privée », au fil d'articles d’abord passés entre leurs mains avant d’être votés par les députés et sénateurs. 

Si l’on remonte d’un cran, la directive sur le droit d’auteur et les droits voisins de 2001 évoque elle le paiement d’une « compensation équitable », véritable nom européen de ce prélèvement. Et là est la véritable appellation. Cette redevance n’est donc pas non plus une « rémunération ». Elle compense un préjudice. Elle a donc une nature indemnitaire, sûrement pas alimentaire.

Cette guerre des mots n’est pas neutre. Ce choix lexical a l'avantage néanmoins de repousser toutes les critiques et scléroser les réformes qui viendraient menacer les rendements. Si on peut s’attaquer à « une taxe », on ne touche pas à « une rémunération ». 

« L’exonération des appareils reconditionnés apparaîtrait d’autant plus injustifiée que l’usage, en matière de stockage et de duplication d’œuvres, est similaire sur un appareil neuf et reconditionné. Il est donc légitime que cette rémunération compensatoire s’applique à chaque utilisateur d’un appareil, qu’il soit neuf ou reconditionné »

Cette affirmation tombe comme une évidence pour les ayants droit, qui prélèvent ces sommes (260 millions d'euros en 2019). Or, elle n’est corroborée par aucune étude solide. Rien ne dit qu’une personne ayant acheté un téléphone en fin de vie aura les mêmes pratiques de copie privée que le tout récent possesseur du tout dernier Apple ou Samsung.

D’ailleurs, le sujet questionne en Commission copie privée où les ayants droit se sont proposés de réaliser une étude d’usages pour jauger les pratiques de copie sur les reconditionnés. Cette étude est normalement de la compétence du ministère de la Culture, mais sa privatisation va permettre de s’échapper des délais contraints du Code des marchés publics. 

« La rémunération pour copie privée appliquée aux appareils reconditionnés est minime

La rémunération pour copie privée ne représente que 3 à 4% du prix d’un téléphone reconditionné, vendu en moyenne 332 euros. Son montant n’est donc pas de nature à perturber le marché des supports reconditionnés alors qu’il constitue un enjeu important pour le financement de la culture. Un smartphone vendu par le leader du marché reconditionné coûte sensiblement le même prix en France que dans les autres pays européens. Rappelons que les tarifs de la rémunération pour copie privée sont fixés par une Commission mixte paritaire et encadrés par des conditions juridiques qui s’appuient sur des études d’usage. »

Les ayants droit prennent pour exemple un téléphone de 332 euros où le poids de la redevance représenterait jusqu’à 4 % du prix, soit un peu moins de 14 euros. Une poussière.

De fait, la présentation est biaisée, car elle infuse l’idée selon laquelle le barème de redevance est déterminé en fonction du prix du produit. Or, ce n’est pas le cas. Le calcul est effectué selon la capacité de stockage, nuance importante. 

Barème copie privée (Copie France)

Résultat des courses : un téléphone reconditionné de 128 Go proposé par exemple 154,90 euros sera lesté de 14 euros de redevance. La si légère « rémunération pour copie privée » devrait s’approcher cette fois des 10 % du prix… Où comment transformer la plume en plomb. 

Au passage, les ayants droit disent vrai lorsqu’ils expliquent que les « tarifs » sont fixés par une Commission administrative. Par contre, celle-ci n’est paritaire que dans la forme. 

Selon le Code de la propriété intellectuelle, « les types de support, les taux de rémunération et les modalités de versement de celle-ci sont déterminés par une commission présidée par un représentant de l'État et composée, en outre, pour moitié, de personnes désignées par les organisations représentant les bénéficiaires du droit à rémunération, pour un quart, de personnes désignées par les organisations représentant les fabricants ou importateurs des supports (…) et, pour un quart, de personnes désignées par les organisations représentant les consommateurs. »

Le mal congénital est décrit en ces quelques mots : il faut être un as de la géométrie non euclidienne pour appeler « paritaire » une commission divisée en trois groupes. Trois groupes, où les ayants droit ont 12 sièges, les représentants des consommateurs 6 et ceux des industriels 6 autres. Il n’est pas non plus nécessaire d’être un fin stratège pour comprendre que les 12 ayants droit, qui perçoivent, parlent d’une même voix, quand le représentant d’une association de consommateur ne partage pas les mêmes intérêts qu’un fabricant de disques durs ou un fournisseur d’accès. La bonne vieille recette du diviser pour mieux gagner, qui permet donc au secteur culturel de faire adopter facilement les tarifs de la redevance dont ils vont toucher les fruits. 

« L’économie des supports reconditionnés n’est ni verte, ni circulaire, ni pourvoyeuse d’emplois !

Les supports reconditionnés viennent essentiellement des États-Unis, sont recyclés en Europe avec des composants provenant de Chine et sont ensuite revendus dans le monde entier. Une exonération de la rémunération pour copie privée profiterait uniquement aux revendeurs, qui sont principalement des grands acteurs de l’Internet et pas aux recycleurs. »

L’argument des « grands acteurs de l’Internet » peut être efficace. Il avait déjà été victorieusement porté par les mêmes industries culturelles, lorsque, au moment du vote en faveur de la directive relative au filtrage des contenus, ils n’avaient de cesse de critiquer le lobbying de Google. 

Les sources de cette affirmation ne sont pas davantage précisées. Si l’on comprend bien : au motif que des téléphones reconditionnés viendraient de l’étranger, il faudrait soumettre tous les recycleurs français à cette ponction, même ceux-ci qui reconditionnent sur un marché où les produits ont déjà été soumis une première fois à la redevance.

Nous laissons aux ayants droit la responsabilité de soutenir que le monde du reconditionné n’est pas vert. Les petits acteurs du secteur qui s’échinent dans une démarche éthique apprécieront l'affirmation à sa juste valeur.

« Cette exonération priverait la culture d’une ressource vitale à son dynamisme

Dans un contexte de crise historique, la rémunération pour copie privée est essentielle à la survie, demain, d’une création française fertile et diversifiée. Priver la culture des revenus provenant du secteur très florissant des appareils numériques reconditionnés porterait un grave préjudice aux artistes, aux auteurs et aux entreprises du secteur, estimé aujourd’hui à 30 millions d’euros.

Depuis plus de 35 ans, la rémunération pour copie privée prouve son efficacité en contribuant au financement de plus de 10 000 projets culturels et à la rémunération de milliers d’artistes, créateurs, auteurs, producteurs, éditeurs d’œuvres artistiques dans tous les genres. Depuis le mois de mars dernier, elle abonde les fonds d’urgence et de secours aux auteurs, artistes et titulaires de droits voisins, qui vivent des situations d’extrême précarité et de détresse liées aux effets de la crise sanitaire. Une exonération de rémunération pour copie privée sur ces supports représenterait une menace grave pour le secteur culturel, reconnu pour être pourvoyeur d’emplois jeunes, non qualifiés et non délocalisables. 

Face à cette campagne mensongère des revendeurs pour ne pas payer la rémunération pour copie privée, les organisations signataires de ce communiqué demandent au gouvernement de maintenir l’assujettissement des supports reconditionnés, déjà prévu par la loi actuelle, et de défendre un mécanisme de rémunération essentiel pour la culture et ceux qui la font vivre. Le travail déjà engagé sur ce sujet par la Commission de la Copie privée doit pouvoir se poursuivre sereinement afin d’envisager un barème adapté à ces supports. »

Les ayants droit ont raison : le secteur culturel traverse une grave crise…comme d’autres secteurs. Seulement, le communiqué souffre d’amnésie. Il oublie de rappeler qu’en France, le système a été calibré pour prélever la redevance pour copie privée tout en haut de la chaîne commerciale, lors de la mise en circulation par l’importateur, là où on ne connaît pas encore la destination des produits.

Les importateurs se retournent ensuite auprès de leurs distributeurs, qui eux-mêmes font payer l’acheteur final. Conclusion : avec un tel régime, tout le monde paye, alors que selon le droit européen, seules les personnes physiques pour leurs copies privées doivent supporter cette charge. Donc pas les professionnels.

Juridiquement, cette discrimination est inscrite à l’article 5, 2, b) de la directive Droit d’auteur de 2001, qui prévient que la compensation équitable doit être versée pour les seules « reproductions effectuées sur tout support par une personne physique pour un usage privé et à des fins non directement ou indirectement commerciales ». 

Certes, les millions de professionnels (associations, entreprises, hôpitaux, collectivités locales, établissements, etc.) ont la possibilité de se faire rembourser ce qu’ils n’avaient pas à payer ou bien même de se faire exonérer. Cette possibilité a été ouverte par une loi de 2011 sur la copie privée, mais le système est totalement grippé pour le plus grand avantage des ayants droit qui conservent les sommes non réclamées.

Les raisons tiennent d’une part à un déficit crucial d’information et d’autre part au coût administratif de ces procédures, d’autant que le remboursement est conditionné à la production d’une facture mentionnant le poids de la copie privée. Obligation trop rarement respectée par les distributeurs (point 6° de cet arrêté).

En octobre 2011, le projet de loi relatif à la copie privée, qui a donc introduit la possibilité pour les « pro » de se faire rembourser ou exonérer, évaluait la perte consécutive pour les ayants droit « entre 20 et 30 % des rémunérations perçues chaque année ». 

Entre 2012 et 2019, le secteur culturel a prélevé 2,094 milliards d’euros de redevance Copie privée. Si l’étude d’impact avait dit vrai, il aurait dû rembourser/exonérer entre 628,2 et 837,6 millions d’euros. Selon le dernier rapport annuel de Copie France, ils n’ont remboursé/exonéré sur la même période que des miettes : un peu plus de 7 millions d’euros.

La différence, entre 621,2 et 830,6 millions d’euros, a donc été conservée par ceux qui réclament désormais l’assujettissement du reconditionné.

Le chantier de l’extension de cette redevance culturelle aux biens reconditionnés est en cours en Commission Copie privée. Aux manettes, pas seulement les ayants droit ou le président de l’instance administrative, mais aussi et surtout le ministère de la Culture.

Depuis plusieurs mois, les ayants droit regardent croître l’univers des reconditionnés, mais non pour ses vertus écologiques, ou les bienfaits sur le portemonnaie des consommateurs.

Les intérêts se concentrent sur la redevance (ou « rémunération ») pour copie privée qui a préservé jusqu’à présent ces transactions. Si en France, la plupart des catégories de supports sont frappées, les biens en seconde vie, smartphones, tablettes, disques durs externes, sont revendus chez les reconditionneurs sans subir ce prélèvement collecté par Copie France.

En 2019, la société civile, qui compte notamment la SACEM parmi ses membres, a amassé 260 millions d’euros pour la mise en circulation en France des tablettes, des smartphones, des disques durs externes, et toutes les autres unités de stockage d’œuvres concernées.

Le paiement réalisé par l’importateur ou le fabricant vient compenser les pratiques de copies d’œuvres réalisées par les particuliers, sans la sacro-sainte autorisation des ayants droit. Mais cette rente n’est pas suffisante. Alors que de moins en moins de personnes copient, l’important est de sauver le butin en étendant la base d’assujettissement. Le mouvement a déjà été entrepris par l’extension de la ponction culturelle aux ordinateurs fixes, portables et autres disques durs nus, actuellement sur la rampe.

Le sujet de l’extension de la redevance est pour sa part arrivé comme une fleur après une réunion ministérielle. Le gouvernement aurait demandé à ce qu��il soit inscrit à l’ordre du jour de la Commission Copie privée, celle chargée d’établir barème et taux pour chaque support. Voilà ce qu’a affirmé Jean Musitelli. Le 16 décembre dernier, le président de cette instance s’est empressé de proposer une modification du programme de travail 2019/2021 pour y introduire ce sujet.

Pour les ayants droit, c’est une nouvelle venue miraculeusement du ciel. Si la réforme est validée au sein de cette commission où ils sont en forces, c’est l’assurance de faire grossir les flux de dizaines de millions d’euros, alors même que la consommation en streaming gagne chaque année du terrain au détriment des copies-à-la-papa. En sus des sommes indument prélevées sur le dos des professionnels. 

Le 12 janvier dernier, ils ont pu compter sur les bons conseils d’Hugues Ghenassia-de Ferran, le sous-directeur des affaires juridiques au ministère de la Culture, un temps directeur adjoint du Conservatoire National Supérieur de Musique et de Danse.

Dans une présentation, l'énarque a étalé arguments économiques et juridiques en faveur de l’assujettissement du reconditionné.

De l’intérêt du ministère

Il faut dire qu’il existe un intérêt entre la Rue de Valois à voir grossir les flux de la redevance perçu par les ayants droit. Sur les 260 millions d’euros collectés chaque année, 25 % des sommes sont réservées par les sociétés de gestion collective afin de financer les festivals notamment.

Or, alors que ces activités culturelles sont au point mort, les mêmes sociétés peuvent désormais transformer ces aides financières au profit des titulaires de droits d’auteur et de droits voisins, frappés par la crise sanitaire. Récemment, le dispositif a été étendu jusqu’à la fin 2021. Inutile de chercher les noms des bénéficiaires, une disposition empêche l’inscription de ces données nominatives sur la AidesCreation.org, base de données initiée par le législateur, après notre procédure CADA destinée à obtenir (enfin) la transparence de ces affectations. 

Dit autrement, plus le ministère soutiendra cette extension, plus les sociétés de gestion collective pourront aider leur secteur sinistré. Et plus ces sociétés disposeront de moyens, et moins le même ministère aura à se saigner de subventions. Un merveilleux exercice de poids et contre-poids. 

10 % de smartphones reconditionnés chaque année

Selon le sous-directeur des affaires juridiques, le reconditionnement « représenterait environ 10 % du nombre de téléphones vendus soit près de 1,5 million d’unités sur 15 millions (…) vendues au cours de l’année 2020 ».

Toujours d’après ses sources, non communiquées, « 86 % des ventes concernent des produits gradés en A et A+ ». À ces niveaux de qualité, ces téléphones flirteraient avec des produits neufs. Ainsi, « ces téléphones ont recouvré leurs fonctionnalités d’origine lorsqu’ils sont mis en vente et (…) il n’est donc pas possible de les assimiler à des biens d’occasion » soutient-il. Peu importe donc que ces téléphones aient déjà été entre d’autres mains et subi la redevance, du moins pour les modèles préalablement mis en circulation en France.

En supposant que ces 1,5 million d’appareils disposent d’une capacité supérieure à 64 Go, l’extension permettrait d’apporter 21 millions d’euros dans les poches des ayants droit (14 euros x 1,5 million). Chaque année.

Mis ou remis en circulation 

Sur le terrain juridique, les yeux se concentrent sur l’article L.311-4 du Code de la propriété intellectuelle.

La redevance pour copie privée, indique cette disposition, doit être versée par le fabricant, l'importateur ou la personne qui réalise des acquisitions intracommunautaires « lors de la mise en circulation en France » des supports. Dans les pays ayant choisi de reconnaitre la copie privée, le droit européen impose en effet la perception de cette somme pour compenser les copies d’œuvres réalisées sur « tout support ».

De ces articles, il en déduit qu’« aucune distinction n’est faite par les législateurs français et européen en ce qui concerne les supports d’enregistrement ». Il est également allé déterrer un avis du Conseil d’État de 2000, où la juridiction a défini la notion de « supports d'enregistrement » très généreusement : « tout élément matériel susceptible de fixer, de manière définitive ou temporaire, une œuvre et de la restituer en vue de sa représentation, indépendamment de la nature de cet élément, des techniques ou procédés utilisés pour la fixation de l’œuvre ».

Conclusion, « la définition des supports retenue par le législateur et par la jurisprudence est très générale et n’opère aucune distinction selon que le support est de première main ou reconditionné ».

En clair, le droit en vigueur n’interdirait pas l’assujettissement des biens reconditionnés. Au contraire. La Cour de justice de l’Union européenne a exigé d’une part que la redevance soit calculée « sur la base du préjudice causé aux auteurs des oeuvres protégées à la suite de l’introduction de l’exception de copie privée », d’autre part, que la perception soit effective, en ce sens que pèse sur les États membres une obligation de résultat : s’ils reconnaissent la copie privée, ils doivent collecter pour compenser le préjudice subi par les ayants droit du fait de cette atteinte à leur monopole.

Arrive enfin l’argument relatif aux usages : « les supports d’enregistrement, lorsqu’ils sont reconditionnés, laissent place à deux durées d’usage successives. En effet, lorsque le support est reconditionné, un nouvel utilisateur a la faculté de réaliser des copies et, de fait, cause un nouveau préjudice aux titulaires de droits, distinct de celui découlant du premier utilisateur ». Pas de doute, pour le juriste : « il est donc légitime justifier d’appliquer une rémunération pour chacune de ces deux périodes ».

Vers un barème provisoire sur une durée d’un an ?

Pour parer au plus pressé, il recommande d’activer une option ouverte à l’article L.311-4 du Code de la propriété intellectuelle qui autorise la mise en place d’un barème provisoire sur une période d’un an, déterminé selon le type de supports et la capacité d'enregistrement.

Comme les prix des biens reconditionnés sont moindres, la part de redevance (exprimée en euro) pourrait être proportionnellement beaucoup plus lourde. L’une des pistes envisagées : alléger cette part en introduisant un abattement « dûment justifié par la Commission afin de ne pas créer une rupture d’égalité avec les produits neufs ».

Problème le prix n’est pas une variable d’ajustement. Le Code ne permet pas de tenir compte du critère tarifaire pour faire alléger (ou alourdir) la redevance.

Pluie de difficultés

On voit rapidement poindre plusieurs difficultés. Principalement, le Code permet d’engager la perception de la redevance lors de « la mise en circulation ». Ici, les téléphones (et autres supports) sont par définition « remis en circulation ».

Pour Hughes Ghenassia-de Ferran, cela n’est en rien bloquant. Le code ne dit pas « qu’il s’agit de la première mise en circulation » tempère-t-il. « Si l’intention du législateur avait été d’éviter d’assujettir à la redevance deux fois un même support lorsqu’ils sont remis sur le marché, il aurait peut-être précisé que la rémunération n’est due que lors de la première mise en circulation ».

Le Code civil indique pourtant qu’« un produit ne fait l'objet que d'une seule mise en circulation ». En frappant le reconditionné, on vient finalement imaginer une deuxième mise en circulation.

Autre difficulté. Comment qualifier les reconditionneurs ? Est-ce des importateurs, des personnes qui réalisent une acquisition intracommunautaire ou bien des fabricants ? Seules ces trois personnes sont redevables de la redevance, qu’ils font peser ensuite aux distributeurs puis aux consommateurs.

Selon le juriste du ministère de la Culture, pas de doute : « la personne qui opère une transformation sur un support et qui le remet sur le marché a bien la qualité de fabricant ».

Une interprétation dégommée par Mathieu Gasquy (AFNUM). Pour ce membre du collège des industriels, « la transformation ne concerne pas les capacités de stockage ou la mémoire du support. L’opérateur vide cette mémoire, ajoute un câble, nettoie l’appareil, mais il n’y a pas de véritable transformation du support ».

Et celui-ci de s’interroger : « quelle est la différence entre un utilisateur qui garde le même téléphone pendant sept ans et qui de temps en temps efface du contenu pour faire de la place par rapport à sept utilisateurs différents qui remettraient le même téléphone dans le circuit des reconditionnés chaque année » ?

« Dans le premier cas, la RCP serait payée une fois alors que dans le second cas, elle serait acquittée sept fois », alors « qu’il s’agit du même support sur lequel on a simplement effacé de la mémoire ».

Une durée de vie de deux ans 

Contestation d'Idzard Van der Puyl : voilà des cas « très hypothétiques ». Pour le membre de Copie France, « en moyenne un téléphone est utilisé au moins pendant deux ans ».

Ce critère des deux ans ne doit rien au hasard. En Commission Copie privée, lorsque des études d’usage sont réalisées en amont des barèmes, les sondés sont interrogés sur leurs pratiques de copie sur une durée de 6 mois. Ensuite, les résultats sont extrapolés.

L’avantage est immédiat : comme les pratiques de copies sont plus importantes lors des premiers mois de détention (notamment lors du transfert des fichiers d’un ancien appareil vers un nouveau), la petite astuce permet de dilater les compteurs.

Toutefois, pour éviter une explosion des barèmes, la Commission a plusieurs fois limité volontairement ce coefficient à 4 en prenant pour référentiel une « durée de vie » théorique de deux ans.

Aujourd’hui, miracle ! Ces 24 mois, utilisés autrefois pour amoindrir l’emballement, servent aujourd'hui d’arguments pour justifier l’assujettissement des biens reconditionnés, partant qu’un téléphone ne se garderait que deux années.

Qu'elle était verte, l'avalée 

Avant cette phase, une étape politique devra être franchie. Le 12 janvier dernier, le sénateur Partick Chaize a déposé un amendement sur la proposition de loi visant à réduire l'empreinte environnementale du numérique en France.

Il propose que la redevance pour copie privée ne soit jamais due « lorsque les supports d’enregistrement sont issus d’activités de préparation à la réutilisation et au réemploi de produits ayant déjà donné lieu à une telle rémunération ».

Un texte adopté contre l’avis du gouvernement, porté bon gré mal gré par Cédric O. L’arbitrage final à l’Assemblée nationale permettra de jauger le poids du secrétariat d’État au numérique et celui du ministère de la Transition écologique face au ministère de la Culture.

Les paris sont ouverts, et les ayants droit, rouges d’impatience.

Le projet d’assujettissement des produits reconditionnés à la redevance copie privée irrite le secteur. SOFI Groupe, société derrière le site Smaaart, s’interroge sur la cohérence gouvernementale, non sans fournir plusieurs chiffres sur les conséquences d'un chantier soutenu bec et ongles par le ministère de la Culture.

Faire tomber les biens reconditionnés dans le champ de la redevance pour copie privée, voilà la nouvelle marotte des industries culturelles. Tout en continuant de frapper les téléphones, box, tablettes, clés USB, cartes mémoires, GPS à mémoire, disques externes et bientôt les ordinateurs neufs, les bénéficiaires de cette ponction reluquent avec appétit les biens de seconde vie.

Une étude d’usages est sur la rampe de la Commission copie privée. Elle devrait être financée par les seules sociétés de perception de ces sommes (SACEM, ADAMI, SPEDIDAM, SPPF, SCPP, SACD, etc.). L’objectif ? Mesurer les pratiques de copie sur ces biens, puis déterminer un barème, publié au Journal officiel dans les prochains mois. Le ministère de la Culture soutient sans surprise l’initiative. Depuis, une bataille s’organise avec d’un côté, la filière du reconditionné, épaulée du bout des lèvres par Cédric O au numérique et Barbara Pompili à l’Environnement. Et de l’autre, les sociétés de gestion collective et la Rue de Valois.

Après Recommerce, un autre acteur, SOFI Groupe, a bien voulu témoigner dans nos colonnes des conséquences d'un tel chantier, non sans revenir sur l’action intentée par Copie France, le collecteur de la redevance pour les sociétés de gestion collective.

L’entreprise basée à St-Mathieu-de-Tréviers en France, au nord de Montpellier, fut créée en 1986. À ses origines, elle était uniquement spécialisée dans la réparation de matériels électroniques dans les télécoms. « Cela fait 35 ans qu’on fait ce métier, en ayant géré en sous-traitance pour le compte d’opérateurs et de constructeurs, la remise en état de matériel sur le territoire » se souvient Jean Christophe Estoudre, son président.

35 ans, mais « un fleuve non tranquille ». La société était l’une des briques du groupe Anovo, lui aussi spécialisé dans la maintenance électronique. Dans les années 2010, des difficultés de gestion stoppent l’aventure. Dépôt de bilan, fermeture d’une dizaine de sites sur les 25 à l’actif… Et parmi eux, SOFI Groupe. Plusieurs cadres décident alors d’investir leurs indemnités de licenciement dans la reprise de l’entreprise montpelliéraine. « On voulait préserver l’activité en France, les emplois et les compétences acquises ».

« Avoir une industrie électronique en France est extrêmement rare aujourd’hui et cela reste difficile à maintenir en raison des coûts structurels face à des pays qui pratiquent le low cost. Nous croyons tout de même à notre savoir-faire. Nous essayons d’avoir une entreprise à l’équilibre, de préserver des emplois. Nous avons une centaine de collaborateurs aujourd’hui, le double par rapport à 2011. C’est un combat de tous les jours » témoigne Jean Christophe Estoudre.

En 2017, la société s’est diversifiée. En plus de son activité de réparation et maintenance, elle s’ouvre au marché du reconditionné. Elle dépose sa marque Smaaart, pour se spécialiser dans cette seconde vie des smartphones et autres tablettes. Une marque « qui se pose sur l’économie circulaire, l’emploi en France, où les produits sont achetés en France, renvoyés dans nos locaux près du Pic St Loup. Nous faisons attention à notre empreinte carbone, tout en conjuguant notre activité dans une démarche sociale ».

La réalité économique n’est pas simple face à la concurrence étrangère : « on essaye de progresser en terme de chiffre d’affaires. Derrière la vente d’un téléphone reconditionné, il y a de l’emploi en usine. Le marché est très concurrentiel avec des acteurs étrangers installés dans des pays low cost, Europe de l’est et Asie notamment. Pour garder le cap, nos niveaux de marges sont très faibles. Ça ne fait rien, on y croit. Nous avons 25 % de croissance chaque année sur notre chiffre d’affaires, mais en tirant le diable par la queue, donc avec des niveaux de marge qui nous permettent d’être à l’équilibre ».

Fin 2019, l'assignation de Copie France 

Fin 2019, la douche froide. Une lettre recommandée avec accusé de réception. Dans l’enveloppe ? « Une assignation de Copie France, qui n’a jamais pris soin de communiquer préalablement avec nous. La société nous réclame le versement de la redevance pour copie privée comme si les produits reconditionnés étaient assujettis au même titre que les smartphones neufs ».

Car si la question de ces biens en seconde vie est arrivée très récemment en Commission Copie privée, sur le front Copie France avait pris les devants. Elle a assigné des dizaines d’entreprises, en considérant que ces téléphones revendus devaient être soumis au même barème que les téléphones neufs.

L’entreprise française, qui reconditionne en s’approvisionnant sur le marché français, a du mal à comprendre. « Pourquoi avec un tel mécanisme de dédommagement calculé sur la durée de vie d’un produit, nous aboutissons à des smartphones taxés une seconde fois alors qu’on essaye de prolonger cette durée ? ». Selon le chef d’entreprise, pas de doute : « si on doit payer, on va juste tuer la filière du reconditionnement ».

Déjà, les ayants droit de Copie France n’ont pas fait dans la demi-mesure. « Et même dans l’arbitraire », corrige Jean-Christophe Estourdre.

Explications : « Nos chiffres sont publiés sur Societe.com. Nous pensons qu’ils ont donc pris notre chiffre d’affaires sur cinq ans, en estimant je ne sais trop comment le panier moyen d’un Smartphone. Ils ont divisé le chiffre d’affaires par le panier moyen pour arriver à un volume d’unités. Et ils ont appliqué le barème de la redevance, sans même nous demander combien de produits avaient été reconditionnés. Ils sont même remontés jusqu’à 2015 en considérant que la totalité du chiffre d’affaires résultait de cette activité… que nous avons débuté en 2017 ! »

Avec sa méthode bulldozer, Copie France lui réclame un chèque de 678 000 euros. En prenant en compte les deux dernières années, l’entreprise pourrait même avoir à débourser près de 1,6 millions d’euros. Une paille.

Pour défendre leur appétit, les membres de Copie France tentent de relativiser, communiqué à l'appui. « La rémunération pour copie privée ne représente que 3 à 4 % du prix d’un téléphone reconditionné, vendu en moyenne 332 euros ».

18,33 euros de marge, puis 12 euros de copie privée 

Jean-Christophe Estoudre conteste, avec un exemple parlant. Un iPhone 8 disposant de 64 Go d’espace de stockage est racheté par SOFI Groupe à peu près 150 euros, hors taxes.

Puis vient le processus de reconditionnement, totalement internalisé. « Les données sont effacées. Nous réalisons un audit, un diagnostic, un contrôle qualité et le processus de reconditionnement. Là-dessus il faut compter aussi sur les couts de commercialisation, la mise en stock et évidemment la livraison. Ces opérations représentent un cout de 65 euros, soit un total de 215 euros. On le vend 280 euros TTC, soit 233,33 hors taxes. Notre marge est donc de 18,33 euros ».

Mais sur ces 8 % de marge, il faut ensuite déduire les frais généraux, les ressources humaines, le marketing, l’administratif, le loyer, l’énergie, les impôts. « Au final, il ne nous reste pratiquement rien. On est juste à l’équilibre ».

«  Dès lors, lorsque Copie France réclame 12 euros de redevance sur les 18,33 euros restants, cela signifie qu’on va donner 65,5 % de notre marge. Presque les deux tiers, quand le tiers restant ne nous permettra pas de financer nos charges. On ne sera plus à l’équilibre, mais en déficit, alors qu’au même moment, des acteurs étrangers échappent à tous les prélèvements, TVA de 20 % + écoparticipation + Copie privée »

Autre commentaire du président de SOFI Groupe : « il faut évidemment être solidaire avec la Culture, mais ce ne peut être au détriment de notre filière. On ne peut attaquer des gens arbitrairement. Les seuls qui survivront seront ces acteurs étrangers qui échappent à toutes les taxes ».

Érences et cohérence 

Le chef d’entreprise cherche aussi la cohérence dans cette décision portée par le ministère de la Culture : « Est-ce qu’on veut vraiment réindustrialiser ? Nous avons souffert nous aussi du Covid. L’entreprise sera en perte cette année, mais nous essayons de nous battre pour maintenir cette filière vertueuse. Aujourd’hui, les pouvoirs publics soutiennent plusieurs lois relatives au reconditionnement, à l’économie circulaire. C’est vertueux pour l’environnement, cela crée de l’emploi en France».

L’entreprise, aujourd’hui en S.A.S, projette d’ailleurs de changer de statut dans les six prochains mois pour migrer vers une entreprise à mission sociale et environnementale. Alors qu’elle forme de nombreux jeunes déjà, « nous allons retrouver beaucoup d’acteurs, des entreprises d’insertions, des travailleurs handicapés… ». Conclusion : « On ne peut pas favoriser la culture en défaveur de l’économie sociale et solidaire et de la lutte pour l’environnement ! »

« Nous avons fait un calcul au sein du SIRRMIET [pour Syndicat interprofessionnel du reconditionnement et de la régénération des matériels informatiques, électroniques et télécoms, ndlr]. La filière représente 2 000 emplois avec 280 millions d’euros en volume d’affaires. Tout cela risque de disparaître au profit d’acteurs étrangers qui échappent à cette redevance ».

Ne pas augmenter le prix des reconditionnés, exhorte HOP

L’association Halte à l’Obsolescence programmée s’est également emparée du sujet. HOP « regrette un manque de vision globale des enjeux de la transition écologique et enjoint le Gouvernement à veiller à ne pas augmenter in fine le prix des appareils reconditionnés ».

« Le gouvernement avec la loi Anti-Gaspillage et Économie Circulaire (AGEC) souhaite encourager l’achat de biens reconditionnés plutôt que neufs en vue d’allonger la durée de vie des produits, ainsi que la réparation (indice réparabilité, fonds réparation et réemploi…). Or, ce secteur émergent reste fragile et doit rester compétitif pour être attractif aux yeux des consommateurs » ajoute-t-elle.

Elle souligne que dans un cycle de vie d’un smartphone, « la phase de fabrication est la plus impactante au niveau environnemental (et social) : 70 kg de matières sont nécessaires pour produire un smartphone, contenant 60 métaux différents.  Ainsi, un smartphone reconditionné permet d’éviter 45kg de CO2 émis et entre 34 et 40 kg de matières premières utilisées. »

Le film d'Oliver Stone consacré à Edward Snowden et à la « surveillance de masse » était sous-titré « Nous sommes tous sur écoute ». Le texte expliquant ce que les employés de la NSA ont le droit faire, ou pas, évoque certes une « collecte en vrac », mais « très éloignée d'une approche totalement illimitée ».

Ancien sous-procureur général adjoint au ministère de la Justice américain, David Kris avait supervisé les questions de sécurité nationale à la Justice de 2000 à 2003, avant de contester (.pdf), en 2006, la légalité d'un programme d'espionnage de la NSA, sans mandat. Une critique que le Washington Post avait alors qualifiée de « dissidence publique inhabituelle de la part d'un ancien fonctionnaire de l'administration ».

Le 15 janvier, il a publié un nouveau mémo de 78 pages de décryptage d'une « Annexe SIGINT » (pour SIGnal INTelligence) de 44 pages (dont 35 de directives, et un glossaire de 7 pages), en grande partie déclassifiée, le 7 janvier dernier, et mise en ligne par la NSA le 13.

Après un premier compte-rendu de son volet historique, nous détaillons le contenu de ce nouveau document, destiné à mettre à jour une précédente directive qui ne l'avait pas été depuis mai 1988, alors même que la téléphonie mobile et Internet ont depuis révolutionné le SIGINT.

• Ce que peuvent faire les agents de la NSA (ou pas) 1/2

Avant d'entrer dans les détails, David Kris explique que la nouvelle annexe SIGINT semble refléter au moins trois changements significatifs par rapport au texte précédent.

Premièrement, la nouvelle est généralement plus prescriptive, et rend certaines exigences et autorisations « explicites » alors qu'elles étaient auparavant « implicites ». Elle précise notamment comment certaines dispositions interagissent pour permettre ou restreindre certaines possibilités opérationnelles qui se présentent régulièrement.

L'accent mis sur l'interrogation [querying, ndt] des données peut également refléter les progrès technologiques réalisés depuis la dernière mise à jour importante de l'annexe précédente en 1988. Alors qu'autrefois, l'interrogation consistait bien plus à faire en sorte qu'un être humain cherche l'information souhaitée dans un ensemble de données stockées sur du papier, des bandes magnétiques, microfilms et d'autres ensembles de données analogiques, aujourd'hui, il s'agit plutôt d'interrogations automatisées et d'autres exploitations de données numériques. 

L'annexe comporte en outre une série de FAQ intégrées dans le corps du document, et simplifie la recherche dans les règles applicables. Cet effort se manifeste d'ailleurs dans la longueur du document : alors que l'Annexe précédente comprenait une douzaine de pages de fond, la nouvelle Annexe SIGINT en compte environ 35, soit presque trois fois plus, sur 44 pages.

Des contrôles « beaucoup plus développés qu'à l'époque »

Un deuxième changement important par rapport à l'annexe précédente est lié au premier changement : la nouvelle annexe SIGINT tient compte des extensions statutairement requises de l'infrastructure de conformité et de libertés civiles de la NSA. Depuis 2010, l'agence dispose en effet d'un directeur de la conformité, chargé de la conseiller au sujet des questions de protection de la vie privée et des libertés civiles.

De plus, la NSA dispose aujourd'hui de procédures et d'un ensemble de personnels chargés de superviser la r��glementation du SIGINT « beaucoup plus développé qu'à l'époque où l'annexe précédente était en vigueur pour traiter de ces questions ».

« La NSA est une entité hautement réglementée », souligne Kris, et l'annexe SIGINT « est subordonnée, et dérivée, de l'Executive Order 12333 », qui dispose que « [les] éléments de la communauté du renseignement ne sont autorisés à collecter, conserver ou diffuser des informations concernant des ressortissants américains que conformément aux procédures » établies par le chef de l'agence compétente avec l'approbation du procureur général (AG) après consultation du directeur du renseignement national (DNI).

Plus précisément, elle « régit la collecte SIGINT par l'USSS sous E.O. 12333 » à trois fins : « pour satisfaire aux exigences étrangères de renseignement ou de contre-espionnage, pour apporter un soutien aux opérations militaires » ou, dans certaines circonstances, « pour protéger la sécurité ou permettre la récupération d'une personne américaine captive ». Pour autant, l'annexe ne s'applique pas aux activités SIGINT « menées conformément à la FISA », à l'exception des « activités de collecte qui ciblent des personnes américaines en dehors des États-Unis ».

Troisièmement, l'annexe SIGINT semble être plus neutre sur le plan technologique que la précédente, qui comportait par exemple des règles spéciales pour les communications vocales et par fax, qui ne sont plus présentes dans la nouvelle. Alors que la précédente distinguait souvent les règles en fonction du type de signal collecté – par exemple, en traitant les radiofréquences (RF) différemment des communications filaires –, la nouvelle semble mettre l'accent sur les phases du cycle de vie du SIGINT, telles que la collecte, le traitement et l'interrogation.

Ce changement s'expliquerait en partie, explique David Kris, « parce que l'environnement SIGINT lui-même a évolué de telle sorte qu'il serait moins utile pour les opérateurs de trop se concentrer sur le type de signal, les réseaux et systèmes de communication plus complexes, divers et hybrides devenant de plus en plus la norme ».

Il recoupe également et dans une certaine mesure le premier changement, précise l'auteur : « l'annexe SIGINT fournit des orientations conçues pour les opérateurs et adaptées en tenant compte du fait que la protection de la vie privée et les risques connexes peuvent être différents à chaque phase du cycle de vie du SIGINT ».

Des collectes ciblées « chaque fois que possible »

L'annexe rappelle premièrement que l'U.S. Signals Intelligence System (USSS) ne peut « cibler intentionnellement des personnes américaines ou des personnes aux États-Unis à moins qu'une autorisation n'ait été obtenue conformément à la présente section ou à la FISA ».

Deuxièmement, en ce qui concerne les personnes américaines ou les personnes aux États-Unis, l'USSS doit « limiter la collecte SIGINT » à « ne pas collecter plus d'informations que ce qui est raisonnablement nécessaire », et si possible utiliser les moyens les moins intrusifs.

Troisièmement, l'USSS doit effectuer une collecte ciblée (par opposition à une collecte en vrac) « chaque fois que possible », en utilisant des termes de sélection ou d'autres éléments discriminants afin d'« identifier une cible, un sujet ou une caractéristique de la communication ou une combinaison de ces éléments, conformément à l'objectif de la collecte ou de la requête ».

Pour autant, il n'y a pas d'exigence dans l'annexe, comme le prévoit le FISA, de terme de sélection « identifiant spécifiquement une personne, un compte, une adresse ou un appareil personnel ». Un terme de sélection n'est donc pas le même qu'un « sélecteur » fort, un mot utilisé dans d'autres contextes pour désigner une installation comme une adresse e-mail ou un numéro de téléphone spécifique.

Kris explique que l'annexe autoriserait par exemple « l'utilisation d'une combinaison de termes de sélection comme celui-ci: tout message qui (1) contient le mot "pourquoi" utilisé dans les trois mots de l'expression "es-tu"; (2) est écrit à plus de 85% en pentamètre iambique [un type de vers utilisé notamment dans les poésies grecques, anglaises et allemandes, ndt]; et (3) est transmis entre 9h00 et 17h00 GMT ».

De plus, lorsque les termes de sélection « sont raisonnablement susceptibles d'entraîner ou ont abouti [lorsqu'ils ont déjà été utilisés dans le passé] à la collecte de communications à destination, en provenance ou à propos de citoyens américains (où qu'elles se trouvent) », l'annexe impose des exigences supplémentaires. À commencer par le fait de prendre des mesures pour s'assurer que les communications « non pertinentes » soient exclues.

La « collecte en vrac » est limitée à six catégories bien définies

En outre, la collecte SIGINT en vrac (« bulk SIGINT collection », souvent – incorrectement – traduite comme « surveillance de masse ») est quant à elle limitée à six catégories bien définies par la Presidential Policy Directive (PPD-28) approuvée par l'administration Obama en 2014 :

• l'espionnage et autres menaces et activités dirigées par des puissances étrangères ou leurs services de renseignement contre les États-Unis et leurs intérêts;
• les menaces contre les États-Unis et leurs intérêts par le terrorisme;
• les menaces pesant sur les États-Unis et leurs intérêts du fait de la mise au point, de la possession, de la prolifération ou de l'utilisation d'armes de destruction massive;
• les menaces de cybersécurité;
• les menaces contre les forces armées américaines ou alliées ou tout autre personnel américain ou allié; et
• les menaces criminelles transnationales, y compris le financement illicite et la fraude aux sanctions liées aux autres fins mentionnées dans la présente section.

La directive qui l'encadre rappelle en outre qu'« en aucun cas, les renseignements électromagnétiques recueillis en vrac ne peuvent être utilisés dans le but de supprimer ou d'alourdir la critique ou la dissidence; désavantager les personnes en raison de leur appartenance ethnique, de leur race, de leur sexe, de leur orientation sexuelle ou de leur religion; offrir un avantage concurrentiel aux entreprises américaines et aux secteurs commerciaux américains sur le plan commercial; ou atteindre un objectif autre que ceux identifiés dans cette section ».

Quatrièmement, l'USSS doit prendre des « mesures raisonnables » pour déterminer la nationalité et l'emplacement des cibles (pour l'application des règles appropriées, qui dépendent souvent de la nationalité et de l'emplacement).

Cinquièmement, l'USSS doit essayer de réduire la quantité de collecte accidentelle de communications nationales ou de communications concernant des citoyens américains.

La NSA peut examiner un spectre, mais pas n'importe comment

Kris recense au surplus quatre autres limitations pour ce qui est de l'examen de « l'environnement des signaux » afin d'identifier les « signaux ou communications » pertinents. La NSA compare cela au fait de tourner le cadran d'un autoradio pour trouver les stations locales qui diffusent un type particulier de musique ou d'autres programmes.

Un tel examen ne peut être mené que pour identifier les communications ou autres signaux qui satisfont à au moins l'une des quatre exigences suivantes :

1. « Peuvent contenir des informations relatives à la production de renseignement ou de contre-espionnage », comme les messages entre une unité militaire déployée à l'avant ou un actif de renseignement et son quartier général.
2. « Sont chiffrés ou semblent contenir une signification secrète et sont nécessaires pour développer des capacités techniques ». Par exemple, l'analyse cryptographique d'un chiffrement militaire particulier utilisé par un adversaire peut bénéficier d'un large échantillon de données chiffrées.
3. « Sont nécessaires pour assurer une collecte SIGINT efficace ou pour éviter la collecte de signaux indésirables », ce qui s'explique du fait des nombreux canaux de communication existants comparés aux ressources SIGINT limitées. Ils permettent à la NSA et à d'autres éléments de l'USSS d'étudier l'environnement plus large dans le but de diriger la collecte contre les canaux les plus précieux, et peuvent également permettre l'identification des canaux contenant un grand nombre ou un pourcentage de communications qui ne sont pas appropriés pour la collecte, éclairant les décisions pour éviter de diriger SIGINT contre ces canaux.
4. « Révéler les vulnérabilités de sécurité des communications aux États-Unis ». Par exemple, la NSA peut examiner un canal avec un terminal dans une installation de renseignement américaine pour vérifier si de grandes quantités de données sensibles sont exfiltrées.

Dès lors, le but et la fonction d'un tel examen n'est pas de collecter des renseignements étrangers en premier lieu (bien que cela puisse aboutir à une telle collecte), mais de vérifier des informations sur l'environnement SIGINT afin de faciliter, guider et documenter la future collecte SIGINT.

En conséquence, une enquête n'est pas et « ne doit pas être utilisée comme » un « substitut à une collecte continue », et doit être « raisonnable et suffisamment limitée en termes de portée, de résultats et de durée ».

Les enquêtes peuvent utiliser des termes de sélection pour aider à déterminer si un canal étudié (par exemple, une radiofréquence) contient des informations pertinentes, mais des enquêtes sur les canaux de communication avec un terminal (c'est-à-dire un point d'accès ou un point final) aux États-Unis ne peuvent être menées que pour « déterminer si la chaîne contient des "renseignements", doit être d'une durée aussi limitée que possible conformément à cet objectif et, si l'enquête n'implique pas de conditions de sélection, ne doit pas dépasser deux heures sans approbation spéciale ».

De la « minimisation » des données

Kris relève au surplus que « la section 2.5 de l'annexe SIGINT, qui traite des "limitations" à la collecte de SIGINT est la disposition la plus longue et la plus complexe de l'annexe, s'étendant sur plus de cinq pages ».

Lorsque les termes sélectionnés « sont raisonnablement susceptibles d'entraîner ou ont abouti à la collecte de » communications concernant des citoyens américains – même si elles ne sont pas conçues pour le faire – l'USSS doit entreprendre certains efforts de « minimisation » visant à réduire ou à annuler de telles communications (ainsi que les données liées à ces communications) qui ne sont pas pertinentes pour un objectif de collecte autorisé.

Kris note cela dit que la section 3.5 de l'annexe SIGINT prévoit que les limitations sur les requêtes évoquées ci-dessus ne s'appliquent pas à « l'analyse des métadonnées des communications, y compris le "contact chaining" », à savoir l'identification des contacts de la cible, voire des contacts de ses contacts.

Dans de tels cas, l'analyse des métadonnées et le « contact chaining » peuvent se dérouler « sans égard à l'emplacement physique ou à la nationalité de l'un des communicants ou à l'emplacement ou à l'enregistrement de tout appareil ».

Acheter des données plutôt que les intercepter !

Le New York Times vient de révéler que la Defense Intelligence Agency (DIA) avait reconnu avoir acheté des données de géolocalisation « en vrac » provenant de smartphones et obtenues auprès de brokers, mais également que ces derniers ne séparaient pas les données des étrangers de celles concernant les Américains.

Le NYT révèle également si la DIA filtrait les données de sorte de les minimiser, « l'autorisation d'interroger les données de localisation aux États-Unis a été accordée cinq fois au cours des deux dernières années et demie à des fins autorisées », et visant des citoyens américains.

Kris relève à ce titre que l'annexe « ne semble pas règlementer la collecte de données via l'achat d'informations auprès d'un courtier de données », au motif qu'il s'agit d'informations « accessibles au public par abonnement ou par achat » et « fournies volontairement » au gouvernement par une entreprise privée, et non interceptées secrètement par un service de renseignement. Dès lors, leur acquisition ne nécessiterait pas d'approbation spéciale.

Le département de la défense semblerait même « encourager la collecte sur le marché libre à la collecte utilisant le SIGINT, considérant que la première est moins intrusive que la seconde », note David Kris.

Un encouragement qu'il qualifie d'« important car l'un des principaux développements technologiques de l'ère post-11 septembre a été l'amélioration relative du secteur privé, par rapport au gouvernement, dans sa capacité à générer, accéder, collecter, traiter, analyser et exploiter les données, y compris les données de localisation et autres données sur les utilisateurs finaux d'appareils ou de services » :

« De vastes quantités de données, y compris des données de localisation, sont collectées et disponibles à la vente par diverses entités privées. Toute réglementation future possible dans ce domaine devrait vraisemblablement trouver un équilibre entre les préoccupations concernant l'accès du gouvernement américain à ces informations et les préoccupations concurrentes selon lesquelles, si l'accès du gouvernement américain est limité par la loi, l'accès continu resterait disponible pour les gouvernements étrangers adverses, les entités commerciales et non organisations gouvernementales.

En examinant la question dans l'autre sens, j'ai écrit sur les préoccupations de contre-espionnage liées à la disponibilité de ces données - y compris, "à mesure que la gamme des médias sociaux et d'autres informations accessibles au public s'élargit", des difficultés possibles "à établir des personnalités numériques pour l'infiltration agents et officiers" – et le Congrès semble également avoir récemment exprimé des préoccupations similaires. »

Des données conservées 5, 20, 25 ans voire indéfiniment, ou détruites rapidement

En dehors du champ d'application de la FISA, en vertu de la section 4.2 de l'annexe, l'USSS « peut généralement conserver un SIGINT non évalué jusqu'à 5 ans à compter du moment où il est collecté ».

Si l'information est chiffrée ou raisonnablement considérée comme ayant une signification secrète, elle peut être conservée « pendant une durée suffisante pour permettre l'exploitation », et que la durée de rétention de 5 ans ne commence qu'à partir du moment où elles « sont traitées sous une forme intelligible ».

Le FISA prévoit de même que « lorsque les communications sont codées ou ne sont pas traitées d'une autre manière, de sorte que le contenu de la communication est inconnu, il n'est pas nécessaire de minimiser ... jusqu'à ce que leur contenu soit connu ».

La section 4.3 de l'annexe autorise le directeur de la NSA (avec une certification des commissions du renseignement du Congrès) à approuver « la conservation des SIGINT non évalués pendant une période allant jusqu'à 20 ans au-delà de la période de conservation par défaut ».

Les informations collectées en ciblant des personnes non américaines en dehors des États-Unis, y compris des données concernant des Américains (USPI) mais collectées accidentellement, peuvent de leur côté être conservées pendant 25 ans.

La section 4.4 de l'annexe SIGINT permet cela dit la conservation « potentiellement indéfinie » de plusieurs catégories de SIGINT.

La première concerne des informations qui ne représentent pas une menace réelle pour les intérêts de la vie privée des citoyens américains. Il s'agit de « communications étrangères [c'est-à-dire des communications avec au moins une extrémité en dehors des États-Unis] qui sont déterminées comme constituant, en tout ou en partie, du renseignement ou du contre-espionnage étranger, ou des informations nécessaires pour comprendre ou évaluer le renseignement ou le contre-espionnage étranger, et dont toutes les parties sont raisonnablement considérées comme étant des personnes non américaines et dont toute USPI a été supprimé. » La rétention peut dès lors être permanente.

La section 4.6.b. prévoit en outre que l'USSS « détruira généralement rapidement après reconnaissance » toute communication recueillie à la suite d'un « ciblage par inadvertance d'un ressortissant américain non consentant », lorsque la collecte est à la fois inattendue et indésirable, mais se produit par accident, involontairement.

« Quelque chose de très éloigné d'une approche totalement illimitée »

En conclusion, David Kris relève que « l'Annexe SIGINT est flexible à bien des égards, mais elle fournit également des limites importantes à l'activité SIGINT qui n'est pas directement réglementée par la loi ».

De plus, si elle « protège principalement les personnes et les personnes américaines aux États-Unis », l'annexe SIGINT « fournit également des protections importantes qui s'étendent à toutes les personnes, y compris les personnes non américaines situées en dehors des États-Unis, au-delà de celles énoncées dans le PPD-28 ».

Kris résume les limites et les protections applicables concernant les Américains :

• Limites sur « le ciblage intentionnel de personnes ou de personnes américaines aux États-Unis »;
• Limites de la collecte intentionnelle de communications nationales;
• Obligation d'utiliser les « moyens les moins intrusifs » pour la collecte d'USPI effectuée aux États-Unis ou dirigée contre une personne américaine à l'étranger, de ne pas collecter plus d'USPI qu'il n'est « raisonnablement nécessaire », et d'envisager des méthodes pour limiter la collecte d'USPI non pertinentes;
• Obligations de « faire tous les efforts raisonnables » pour « réduire, dans toute la mesure du possible », la collecte accidentelle de communications nationales et de communications concernant des ressortissants américains, et de prendre en compte « certains facteurs pour limiter la collecte de l'USPI [non pertinent] »;
• Interdictions de « ciblage inversé », où la personne ou l'entité auprès de laquelle ou au sujet de laquelle le gouvernement cherche des informations n'est pas la cible identifiée (nominale) de la collecte;
• Obligation d'utiliser des termes de sélection pour la collecte chaque fois que possible et, lorsqu'il existe un risque de collecte accidentelle de communications non pertinentes concernant des personnes américaines, de prendre des mesures pour annuler cette collecte, y compris la collecte des communications elles-mêmes et des données connexes;
• Obligation, lors de collecte SIGINT sur les chaînes de radio étrangères avec un terminal aux États-Unis, de cibler les personnes non américaines à l'étranger (et utiliser des termes de sélection sauf si la chaîne est utilisée exclusivement par des puissances étrangères);
• Obligation de ne recourir à des requêtes destinées à récupérer des communications concernant des personnes américaines et des personnes aux États-Unis que dans certaines circonstances (« quoique l'éventail de circonstances soit assez large », remarque Kris);
• Obligation de destruction des communications nationales, des communications obtenues par ciblage inadvertant de personnes américaines non consentantes, et des communications de certaines personnes non américaines non consentantes ciblées par inadvertance aux États-Unis;
• Obligation de minimisation des USPI lors de la dissémination du SIGINT.

Concernant les non Américains, « les protections incluent » :

• Interdictions d'utiliser des partenaires étrangers pour accomplir indirectement quelque chose que l'USSS ne peut pas accomplir directement, en vertu de l'Executive Order 12333. « Il s'agit d'une limite importante car de nombreux gouvernements étrangers ne réglementent pas l'activité SIGINT de manière aussi rigoureuse ou de manière transparente comme le font les États-Unis », précise Kris.
• Limites quant aux finalités pour lesquelles la collecte SIGINT et l'interrogation de requêtes peuvent être effectuées, et obligations de « mener une collecte ciblée en utilisant une sélection de termes chaque fois que cela est possible ».
• Exigences concernant les moyens de limiter la collecte aux informations pertinentes et les moyens de filtrer « les informations non pertinentes dès que possible après la collecte ».
• Obligations de se conformer aux directives émises par le procureur général destinées à protéger les communications avocat-client.
• Limites de conservation des SIGINT non évalués. Le but de cette limite est principalement de protéger les personnes américaines et les personnes aux États-Unis, mais les limites ont pour effet de restreindre la conservation en général en raison du mélange indifférencié d'informations USPI ou non dans un SIGINT non évalué.
• Obligations générales de détruire les communications nationales de certaines personnes non américaines non consentantes ciblées par inadvertance aux États-Unis.
• Exigences relatives aux politiques internes, aux programmes de conformité, à la formation, à l'audit et aux contrôles internes, à la documentation et aux rapports aux superviseurs externes qui aident à garantir la conformité réelle avec les lois et politiques énoncées –« un autre facteur qui peut différencier les États-Unis de certains autres Gouvernements », précise Kris.

« Les esprits raisonnables peuvent certainement différer sur le point de savoir si l'Annexe SIGINT fournit des protections suffisantes pour les personnes américaines, les personnes aux États-Unis et les personnes non américaines à l'étranger », conclut Kris. « Mais ces 35 pages de détails prescrivent quelque chose de très éloigné d'une approche totalement illimitée » [« something very far removed from a wholly unrestricted approach », ndt] :

« En fournissant ces protections et limites, ainsi qu'en autorisant l'activité SIGINT, l'annexe SIGINT apporte plus de clarté et de prescription que son prédécesseur. Cela reflète en partie le nouvel environnement dans lequel il fonctionne et la tendance à une réglementation et à une transparence accrues en matière de SIGINT. »

La CJUE fustige la « collecte "en vrac" [...] d’un volume relativement important d’informations »

La publication de l'annexe SIGINT devrait donc intéresser juristes et autres afficionados de renseignement technique ou de protection de la vie privée, au vu de l'arrêt dit « Schrems 2 ».

Pour rappel, la Cour de justice de l’Union européenne (CJUE) avait alors invalidé le « bouclier de vie privée » (ou Privacy Shield), en juillet 2020, au motif que l’article 702 du Foreign Intelligence Surveillance Act (FISA) et de l’executive ordrer 12333 « ne correspondent [pas] aux exigences minimales attachées, en droit de l’Union, au principe de proportionnalité, si bien qu’il n’est pas permis de considérer que les programmes de surveillance fondés sur ces dispositions sont limités au strict nécessaire ».

Outre-Atlantique, les textes prévoient bien l’intervention du tribunal de la surveillance du renseignement extérieur (ou FISC, pour Foreign Intelligence Surveillance Court), toutefois elle se limite à « vérifier si ces programmes de surveillance correspondent à l’objectif d’obtenir des informations en matière de renseignement extérieur », pas à savoir « si les personnes sont correctement ciblées pour se procurer des informations en matière de renseignement extérieur ».

Ces dispositifs concoctés par le procureur général et le directeur du renseignement national ne ciblent en effet pas une personne déterminée, mais orchestrent bien un programme de surveillance extérieure.

Pas de limitations ciselées, pas de garanties pour les personnes non américaines potentiellement visées, ni même de droits opposables devant les tribunaux. Le Privacy Shield, si chèrement défendu par la Commission européenne, n’est donc « pas susceptible d’assurer un niveau de protection substantiellement équivalent à celui résultant de la Charte », contrairement à ce qu’exige le RGPD.

Les documents annexés au Privacy Schield indiquent en effet que la directive stratégique présidentielle n°28 (Presidential Policy directive 28, ou PPD-28), sur laquelle se fondent les programmes de surveillance, permet de procéder à une « collecte “en vrac” [...] d’un volume relativement important d’informations ou de données issues du renseignement d’origine électromagnétique dans des conditions où les services de renseignement ne peuvent pas utiliser d’identifiant associé à une cible spécifique [...] pour orienter la collecte ».

Pour la Cour, « cette possibilité, qui permet, dans le cadre des programmes de surveillance fondés sur l’E.O. 12333, d’accéder à des données en transit vers les États-Unis sans que cet accès fasse l’objet d’une quelconque surveillance judiciaire, n’encadre, en tout état de cause, pas de manière suffisamment claire et précise la portée d’une telle collecte en vrac de données à caractère personnel ».

« Une critique possible de la nouvelle annexe »

Un petit détail intrigue, cependant. Le mémo de David Kris, dont les méta-données indiquent qu'il a été enregistré le 15 janvier, fait 78 pages, est extrêmement fouillé et particulièrement documenté. Il renvoie en outre à rien de moins que 362 liens pointant vers des articles, directives, règlements et autres textes officiels particulièrement techniques, eux-mêmes très denses, et a priori impossibles à identifier sauf à être un « professionnel de la profession » des experts en droit du renseignement technique américain.

Or, le tampon de déclassification de l'annexe SIGINT est daté du 7 janvier, et le fichier n'a été mis en ligne que le 13 sur le site web de la NSA. De plus, dans un louable effort de transparence, et pour s'assurer qu'il ne risquait pas de compromettre la sécurité nationale, David Kris précise avoir consulté des représentants de la NSA et d'autres agences gouvernementales, et même « obtenu l'aide du GCHQ », l'homologue britannique de la NSA, afin de s'assurer de l'exactitude de son article.

Il détaille au surplus que son document a « été examiné par le gouvernement pour s'assurer qu'il ne contient pas d'informations classifiées ». De fait, le fichier .pdf est intitulé « nsa-sigint-annex-paper-cleared-by-usg-1-13-2021.pdf », mais sans que l'on comprenne si la référence au 13 janvier correspond à la mise en ligne de l'annexe sur le site de la NSA, ou bien la date à laquelle le document aurait été reçu, envoyé ou bien encore « cleared » et donc validé par le gouvernement US.

Intrigué, je lui ai donc demandé comment il avait pu produire une telle analyse, et l'avoir faite valider par plusieurs représentants de plusieurs agences, même et y compris en Grande-Bretagne, puis de la faire examiner et approuver « par le gouvernement », en moins de 48 heures. Il ne m'a pas répondu.

Reste qu'il est peu probable que David Kris ait pu produire untel travail de décryptage, et encore moins obtenir des réponses de plusieurs représentants de la NSA et du GCHQ, puis faire valider son mémo, en moins de 48 heures.

L'explication pourrait se trouver dans le paragraphe de conclusion. Kris y explique que « l’annexe SIGINT conserve le point de vue d’un opérateur et se concentre sur la satisfaction des besoins de la mission », sans pour autant contribuer à éclairer le débat pour les non-spécialistes, ni donc être en mesure de contribuer au débat public, que les révélations dites Snowden ont contribué à polariser :

« En effet, une critique possible de la nouvelle annexe est qu'elle reste trop ancrée dans les opérations héritées et s'appuie trop fortement sur des catégories, des conventions et d'autres approches traditionnelles qui peuvent être utiles à ceux qui font du SIGINT pour gagner leur vie mais qui peuvent nuire à la clarté pour ceux-ci.

L'équilibre entre l'utilité opérationnelle et la clarté théorique est cependant un équilibre extrêmement difficile à trouver, car le public concerné pour l'annexe SIGINT comprend à la fois des initiés et des étrangers. J'ai essayé, dans ce document, de combler le fossé entre eux, en fournissant une explication de l'annexe SIGINT qui, je l'espère, sera utile à quiconque s'intéresse sérieusement à ce domaine. »

Bien qu'il précise que « les opinions exprimées sont uniquement les miennes et les erreurs de ma seule responsabilité », il ne s'agirait donc pas tant de l'initiative individuelle de celui qui, il y a 15 ans, avait critiqué la NSA. Mais, et probablement, d'une alliance objective entre la NSA et le contributeur du blog de référence pour ce qui est des questions de droit américain en termes de sécurité nationale, afin de vulgariser ce qu'elle autorise ses employés à surveiller, et comment, ou pas.

Au Journal officiel ce week-end, Bercy a publié l’un des derniers coups de truelle de son chantier destiné à chaluter les réseaux sociaux et autres plateformes pour trouver des indices de fraudes. Un chantier validé par le Conseil constitutionnel, modulo un strict encadrement, rappelé par la CNIL dans sa délibération.

Derrière le hashtag #BigBrotherBercy, on trouve la possibilité pour les services fiscaux « d'une part, de collecter de façon indifférenciée d'importants volumes de données, relatives à un grand nombre de personnes, publiées sur de tels sites et, d'autre part, d'exploiter ces données, en les agrégeant et en opérant des recoupements et des corrélations entre elles ». Voilà en quelques mots comment les neuf Sages résumèrent cette disposition née de la loi de finances pour 2020.

Au fil d’une expérimentation sur trois ans, les fins limiers de Bercy se voient depuis autorisés à collecter les données ouvertes sur les réseaux sociaux, les plateformes de vente et plus globalement tous les sites de mises en relation. La finalité ? Après traitement automatisé, déceler des débuts de commencement de traces de fraudes en matière de commerce illicite (drogue, tabac) ou encore de domiciliation à l’étranger.

Ce 13 février 2020, au Journal officiel, a été publié le décret « portant modalités de mise en œuvre par la direction générale des finances publiques et la direction générale des douanes et droits indirects de traitements informatisés et automatisés permettant la collecte et l'exploitation de données rendues publiques sur les sites internet des opérateurs de plateforme en ligne ».

Il vient rythmer en deux séquences l’expérimentation programmée voilà de longs mois par le législateur : une phase d’apprentissage suivie par une phase d’exploitation. Il s’agira en pratique de développer d’abord des outils puis déceler ensuite les indélicatesses à la législation fiscale.

Le cas échéant, ces données seront transmises à des agents de la Direction générale des finances publiques ou celle des douanes pour qu’un contrôle plus individualisé soit orchestré. « Les données ouvertes qui seront utilisées ne serviront que d’indices qui, croisés avec d’autres données, peuvent conduire l’administration à ouvrir un contrôle », nous avait précisé Bercy en 2018.

« En aucun cas des redressements n’interviendront sur la seule base de telles données, insiste la direction, et il n’y aura aucune inversion de la charge de la preuve : il incombera toujours à l’administration de démontrer la fraude, sur la base d’éléments objectifs. Il ne s’agit donc absolument pas d’une surveillance généralisée de tous les Français ».

La phase d'apprentissage et de conception

Cette première phase avait été annoncée en novembre 2019 dans un amendement de la majorité LREM. Selon les explications des élus, « un algorithme auto-apprenant sera développé afin de déterminer des indicateurs permettant de cibler les infractions visées par le dispositif, sur la base d’une base de données anonymisées ».

Au Journal officiel, samedi, plus d'un an après le vote du projet de loi de finances, le décret confirme cette logique. Durant cette phase initiale, des outils « de collecte et d'analyse des données » seront développés afin « d'identifier des indicateurs (…) tels que des mots-clés, des ratios ou encore des indications de dates et de lieux ». Ces mêmes indicateurs permettront ensuite de caractériser les manquements et infractions recherchés.

Pour cet essai grandeur nature, Bercy va travailler d’abord sur des listes d’entreprises ou de personnes physiques préalablement identifiées par son traitement de data mining « ciblage de la fraude et valorisation des requêtes » (ou CFVR). Soit une centaine d'entreprises pour la recherche d'activités occultes, et une dizaine de personnes physiques s’agissant des fausses domiciliations à l'étranger.

• Contre la fraude fiscale, toute la population française sous l’œil du « datamining » CFVR
• Le datamining, cache-misère contre la fraude fiscale

Prenons l’exemple d’une fraude à la domiciliation fiscale où un contribuable affirme vivre six mois et un jour à l’étranger, en espérant échapper à l’impôt français alors que ses activités en ligne démontrent une autre réalité. Les services vont développer d’abord « un outil permettant d'associer une personne physique à ses comptes détenus sur les plateformes en ligne », dont les réseaux sociaux.

Ensuite, à partir d’un échantillon, seront aspirés tous « les contenus des pages permettant d'identifier des lieux géographiques qui peuvent notamment être des écrits, des images, des photographies, des sons, des signaux ou des vidéos ».

Enfin, ce stock d’informations sera croisé « avec des bases de données de lieux géographiques et des moteurs de recherche spécialisés dans l'identification des lieux correspondant à des images, afin d'identifier des indicateurs de lieux géographiques ». Reconnaissance de bâtiments, d’adresses, exploitation des coordonnées géolocalisées associées aux métadonnées d’une photo, tout peut être envisagé…

S’agissant de la vente de tabac ou de drogues illicites, même logique : la DGFIP compte identifier les « titulaires des pages internet analysées », tout en exploitant « les photographies des produits vendus, les données d'expédition de la marchandise et les données permettant de mesurer l'audience de la page, l'ancienneté et l'activité du profil et de l'annonce ».

Durant cette première période, toutes les données personnelles collectées seront effacées puisque l’objectif est « seulement » de disposer d’outils de collecte après cette mise à l’épreuve dans l’océan Internet.

La phase d'exploitation des données

Comme l’exploitant agricole après avoir vérifié ses engins et aiguisé ses fourches, le ministère sera ensuite prêt pour la moisson, armé de ses « indicateurs ». Les données chalutées seront ensuite transférées dans le data mining du CFVR pour « vérifier si la personne ne s'est pas fait connaître de l'administration ».

Au fil de l’eau et des manquements recherchés, les services seront amenés à brasser états civils, identifiants de profil, pseudonymes, adresses, numéros de téléphone, adresses électroniques, photographies, données d'expédition de marchandises, activités d’un profil et d’une annonce, etc.

L’appétit de Bercy, le rappel de la CNIL

Saisie pour avis, la CNIL considère dans sa délibération que ces deux phases obéissent à deux régimes juridiques différents. La phase d'apprentissage relève du RGPD, celle de l’exploitation des données, de la directive Police-Justice.

Mais au-delà, on découvre surtout les appétits des services fiscaux qui ont tenté de raboter au maximum les garanties imposées par le législateur et la décision du Conseil constitutionnel, à savoir que la collecte et l’exploitation ne visent que les contenus :

• librement accessibles sur les sites des opérateurs de plateforme
• manifestement rendus publics par leurs utilisateurs

Lorsqu’ils validèrent cette disposition, dans sa quasi-totalité, les neuf Sages prirent en compte le fait que « ne peuvent être collectés et exploités que les contenus se rapportant à la personne qui les a, délibérément, divulgués ».

API et webscraping

Dans le décret, le ministère s’est d’abord réservé la possibilité de créer des comptes via les interfaces de programmation mises à disposition par les opérateurs de plateforme.

Selon la CNIL, il « entend utiliser des API (interfaces de mise à disposition des données des sites) proposées par les plateformes ou les réseaux sociaux, et/ou des techniques de "webscraping" (techniques d'extraction du contenu de sites, via des scripts ou des programmes automatisés) pour collecter les données des plateformes et des réseaux sociaux. »

Cette technique permettra à la DGFIP de passer entre les lames des solutions de sécurité mises en place par les plateformes pour prévenir les usages massifs.

Toutefois, lors d’un échange avec Bercy, la CNIL a découvert une doctrine fiscale pour le moins éloignée de celle espérée par le législateur. Les données « librement accessibles » visées par Big Brother Bercy seraient aux yeux de la DGFIP toutes celles « publiées sur les plateformes et les réseaux sociaux sans paramètre de confidentialité spécifique ou avec un paramétrage de confidentialité public ». Et donc, toutes celles « qui ne sont pas publiées en mode privé ou en accès restreint à un cercle de contacts, quelles que soient les modalités techniques utilisées pour les collecter ».

De même, dans son projet de décret soumis à l’avis de l’autorité, le ministère a estimé que les commentaires pouvaient parfaitement être alpagués.

Interrogé par la CNIL, il « fait valoir le caractère public - par nature - des commentaires publiés sur les sites marchands au regard de leur modèle économique ainsi que la connaissance, par les utilisateurs de ces sites marchands, des paramètres de confidentialité retenus ». Et pour les réseaux sociaux, même logique : « les utilisateurs ont également la possibilité de configurer les paramètres de confidentialité de leurs pages, en l'absence de paramétrage spécifique, de suppression des contenus concernée ou de signalement effectué auprès de la plateforme concernée, l'utilisateur les divulgue délibérément ».

Un peu court…La Commission a une interprétation beaucoup plus stricte et fidèle au texte initial : un contenu librement accessible doit être... librement accessible.

Des contenus vraiment publics, divulgués par la personne concernée

De cette tautologie, elle en déduit que l’expression vise « les contenus auxquels un utilisateur non inscrit ou sans enrôlement préalable (création de compte, fourniture de certaines informations pour créer un identifiant ou toute autre forme d'inscription) sur une plateforme ou un réseau social pourrait avoir accès, sans saisie préalable d'un mot de passe ».

De même, « pour être manifestement rendus publics les contenus doivent être délibérément divulgués par la personne titulaire du compte ou de la page ce qui implique incontestablement une action volontaire de sa part ». À contrario, « la simple absence de mise en place d'un paramétrage de confidentialité spécifique par exemple ne suffit pas à caractériser qu'une personne a délibérément divulgué un contenu ».

La Commission a donc demandé une modification du décret final, qui prévient désormais au Journal officiel que « seuls les contenus se rapportant à la personne qui les a délibérément divulgués et dont l'accès ne nécessite ni saisie d'un mot de passe ni inscription sur le site en cause peuvent être collectés et exploités ».

De même, le texte indique que « lorsque la personne est titulaire sur internet d'une page personnelle permettant le dépôt de commentaires ou toute autre forme d'interactions avec des tiers, ces commentaires et interactions ne peuvent faire l'objet d'aucune exploitation ».

Cachez ce hashtag 

Relevons au final que Bercy entendait aspirer également des données relatives aux « contenus de toute nature, y compris diffusés en temps réel ».

Dans les échanges avec la CNIL, il a précisé que cette expression recouvrait principalement les « hastags » outre, selon la Commission, « l'ensemble des publications quel que soit leur format informatique (par exemple des codes chiffrés, des algorithmes, …) dès lors qu'ils sont librement accessibles et manifestement rendus publics par l'utilisateur de la plateforme ». L’expression ne se retrouve plus dans le texte finalement publié.

Comme prévu, l'application va être mise à jour avec un nouveau traitement des QR Codes des lieux visités par ses utilisateurs. Plusieurs des recommandations de la CNIL n'ont pas été suivies d'effet, certaines modalités restent floues. Un patch iOS via des notifications push devrait par ailleurs tenter de réveiller les iPhone en veille.

Saisie en urgence par le ministre des Solidarités et de la Santé, la CNIL avait délibéré le 17 décembre dernier sur un projet de décret modifiant le traitement de données dénommé « StopCovid ».

Les évolutions visent principalement, « notamment dans la perspective d'un nouveau déconfinement et de la réouverture de certains établissements recevant du public (ERP : restaurants, salles de sport, salles de spectacles etc.) », à alerter les utilisateurs de l’application « TousAntiCovid ». Du moins, ceux ayant « fréquenté un lieu dans lequel s'est trouvée, au même moment, une personne diagnostiquée ou dépistée positive au Covid-19 ».

Son avis, ainsi que le décret, viennent d'être publiés au Journal officiel.

Conformément aux recommandations de Santé Publique France, précise la CNIL dans son avis, ces lieux sont en effet susceptibles de présenter un risque élevé d'exposition au virus, lorsque les personnes qui les fréquentent ne sont pas en mesure de s'assurer du respect des gestes barrières (salles de sport, restaurants, bars, etc.), ou un risque modéré lorsque ces mesures barrières doivent être mises en œuvre mais qu'une rupture de cette protection y est possible (transports publics, lieux culturels, lieux de culte, etc.).

Ce nouveau dispositif disponible dans l'application « TousAntiCovid » repose sur un protocole dénommé TAC- WARNING (TAC-W), distinct du protocole ROBERT et de la fonctionnalité de suivi des contacts, sans lien avec un quelconque identifiant d'utilisateur, minimisant ainsi le risque de rattacher l'ensemble des lieux fréquentés à l'utilisateur et de pouvoir ainsi reconstituer un historique de certains de ses déplacements.

• « Contact tracing » : on vous explique les différents protocoles et initiatives

En pratique, il repose sur la mise à disposition, par les responsables des ERP, de codes-QR que les personnes sont invitées à scanner, à l'entrée ou à l'intérieur de ces locaux, avec l'application « TousAntiCovid ». Ces codes-QR et la plage d'horaire concernée sont enregistrés dans l'application.

Lorsqu'un utilisateur se signale comme positif au virus, l'application adresse au serveur central TAC-W la liste des codes-QR scannés, qui représente donc la liste des ERP qu'il a fréquentés. Cette liste de lieux contacts est enregistrée sur le serveur.

Par ailleurs, l'application de chaque utilisateur interroge régulièrement ce serveur central en lui envoyant la liste des codes-QR scannés par celui-ci et, lorsque le serveur TAC-W identifie une concordance entre un des lieux remontés et un lieu contact déjà enregistré, il notifie l'utilisateur qu'il a pu être exposé dans un des lieux qu'il a fréquentés.

La nature de la notification reçue pourra varier en fonction du risque de contamination encouru, calculé par le serveur TAC-W sur la base de préconisations à venir des autorités sanitaires.

Ainsi, les personnes ayant fréquenté un lieu « pendant la même plage horaire » – non précisée – qu'une ou plusieurs personnes déclarées positives seront notifiées en tant que « contact à risque modéré ». Au-delà d'un certain seuil – lui aussi non précisé – permettant d'identifier la présence d'un cluster, les utilisateurs pourront être notifiés comme « contact à risque élevé », comme dans le protocole ROBERT. Le décret précise que dans les deux cas, les personnes exposées à ce risque seront désignées comme « contacts à risque de contamination ».

Le Comité de contrôle et de liaison Covid-19 (CCL Covid), dans son avis du 15 décembre 2020, précise de son côté que si une seule personne, qui a été dans le même lieu sur la même plage horaire, se déclare dans l’application, les utilisateurs qui auraient pu la croiser recevront une notification de contact warning, dit à « risque modéré » (impliquant la surveillance des symptômes, etc.). Si trois personnes se sont déclarées, et étaient sur la même plage horaire, alors elles recevront une notification classique de contact tracing à « risque élevé ».

La CNIL manque de visibilité sur certains choix

En outre, si l'interrogation du serveur central nécessite que l'application d'un utilisateur lui transmette la liste des lieux qu'il a fréquentés associés à un horodatage, cette interrogation ne fait pas intervenir, d'après les éléments fournis par le ministère à la CNIL, d'identifiant de l'application, de la personne ou de son terminal.

La Commission relève également que les modalités de stockage et de comparaison des lieux fréquentés font l'objet de mesures visant à limiter les risques d'identification de ces lieux par des tiers.

Enfin, relève la CNIL, la collecte et le traitement de données opérés pour cette fonctionnalité revêtent un caractère temporaire et ces données sont strictement séparées de celles traitées dans le cadre du protocole ROBERT (aucun identifiant commun et des serveurs centraux distincts pour les deux fonctions).

Le ministère a ainsi fait le choix d'une architecture dans laquelle l'application interroge le serveur en envoyant régulièrement l'historique des lieux fréquentés et enregistrés par l'application, et non celui d'une architecture dans laquelle les codes-QR des lieux contacts seraient diffusés par le serveur à tous les utilisateurs, permettant la comparaison, en local, des lieux contacts sur chaque application.

Néanmoins, au regard de l'ensemble des éléments, la Commission estime que le dispositif projeté est de nature à réduire les risques que fait peser le traitement de données sur les droits et libertés fondamentaux des personnes concernées et rend l'atteinte proportionnée à l'utilité estimée du dispositif dans le contexte de la crise sanitaire actuelle.

Elle relève en revanche que l'étendue de la collecte et du traitement de données dont les utilisateurs de l'application feront l'objet est conditionnée à certains choix qui n'ont pas pu être portés à sa connaissance, évoquant notamment :

• la liste précise des ERP concernés,
• le caractère obligatoire ou non, pour ces établissements, de mettre à disposition un code-QR,
• l'obligation faite aux personnes concernées d'enregistrer leurs visites afin que celles-ci puissent être alertées en cas de risque de contamination

Le CCL Covid assure de son côté que ces données « ne permettent pas davantage de fournir à l'utilisateur des informations à caractère personnel relatives aux autres personnes ayant fréquenté le même lieu et lors de la même plage horaire ». Pour autant, la CNIL n'est donc pas « pleinement en mesure d'apprécier la proportionnalité de la collecte envisagée ».

« La proportionnalité de la collecte envisagée devrait être affinée »

Dans un communiqué, la CNIL souligne dès lors que « l’appréciation concrète de la proportionnalité de la collecte envisagée devrait être affinée lorsque les conditions de réouverture des ERP seraient connues ». Elle n'en explique pas moins « avoir considéré que l’utilité, au stade actuel de la lutte contre l’épidémie, d’un dispositif complémentaire d’identification des contacts à risque de contamination était suffisamment démontrée ».

Elle a en outre relevé que l’architecture technique et fonctionnelle du dispositif apportait « plusieurs garanties substantielles de nature à en assurer la proportionnalité (en particulier, pas de géolocalisation) » :

• le dispositif ne recourt pas à une technologie de géolocalisation et n’implique pas le suivi des déplacements des utilisateurs de l’application ;
• aucun identifiant unique n’est lié aux lieux contacts remontés par les utilisateurs dépistés ou diagnostiqués positifs à la Covid-19 ou à ceux transmis lors de l’interrogation du serveur central ;
• les données de TAC-W sont séparées de celles traitées dans le cadre du protocole ROBERT.

Elle note toutefois que le serveur collecte les identifiants uniques et aléatoires contenus dans les codes QR remontés lorsqu'un utilisateur se déclare positif dans l'application. Bien que la table de correspondance entre cet identifiant aléatoire et le nom ou la localisation de l'établissement ne semble pas être connue par le serveur, cette information « existe par ailleurs et pourrait donc être reliée aux données stockées sur le serveur, ce qui serait susceptible d'affaiblir le niveau de sécurité global du traitement ».

À cet égard, la Commission relève que lors de la remontée des historiques de lieux fréquentés d'un utilisateur qui se déclare positif, le serveur applique une fonction de hachage à l'identifiant du lieu contact, en utilisant l'algorithme SHA256 et en l'associant à différentes valeurs d'un paramètre, de façon semblable à un sel, sans que cette mise en œuvre corresponde à l'état de l'art en la matière pour éviter les rapprochements.

Si la Commission comprend de cette pratique qu'elle vise à limiter les possibilités pour des tiers de réidentifier les lieux fréquentés par les utilisateurs, elle invite le ministère à « mettre en place, sans tarder, des mesures encore plus efficaces, telles que le recours à des codes-QR dynamiques, dont l'usage est d'ores et déjà prévu par le ministère et qui pourrait améliorer substantiellement la sécurité des données traitées ».

Vers un dispositif obligatoire « d’enregistrement des visites »

La CNIL prend acte, au surplus, de ce que les utilisateurs conserveront la possibilité de ne pas utiliser l’application « TousAntiCovid », « y compris dans l’hypothèse où l’enregistrement des visites constituerait une obligation pour les personnes concernées », sans plus de précision, dès lors que deux dispositifs, l’un numérique (codes QR), l’autre non numérique (par exemple un cahier de rappel), seraient mis à leur disposition par les responsables des établissements visés.

Par ailleurs, la CNIL recommande, « d’une part que, le cas échéant, le caractère obligatoire d’un dispositif d’enregistrement des visites soit limité aux seuls ERP présentant un risque élevé (port du masque impossible et autres mesures barrières difficiles à mettre en œuvre) et, d’autre part, qu’il ne soit pas rendu obligatoire dans les lieux dont la fréquentation est susceptible de révéler des données sensibles (lieux de cultes, lieux de réunion syndicale, etc.) ».

La CNIL rappelle également que la publication de la documentation technique et du code informatique des nouvelles fonctionnalités du dispositif ainsi que la prise en compte des commentaires de la communauté scientifique « permettront l'amélioration continue du dispositif et la correction d'éventuelles vulnérabilités, visant à garantir la sécurité des données ». Elle invite donc le ministère à « poursuivre et amplifier la démarche d'ouverture encadrant la mise en œuvre initiale de StopCovid ».

Priorisation des cas contacts pour les tests de dépistage ?

Contrairement à ce que recommandait la Commission, le décret précise par ailleurs que l'application a également pour vocation de « permettre aux personnes utilisatrices, sur présentation du statut “contact à risque de contamination” dans l'application, de bénéficier d'un examen ou test de dépistage dans des conditions de réalisation prioritaire, au même titre que les autres personnes à risque d'infection ».

La Commission avait en effet rappelé au ministère que « le fait de télécharger et d'utiliser l'application "TousAntiCovid" n'emporte pas, de facto, la possibilité de bénéficier d'un accès prioritaire à ces examens, seuls les utilisateurs notifiés comme contacts à risques étant concernés par ce caractère prioritaire ».

Elle estime dès lors que ce dispositif « ne saurait remettre en cause le caractère volontaire de l'utilisation de l'application », et qu'il serait « néanmoins nécessaire que l'information fournie, notamment dans l'application elle-même, soit sans ambiguïté sur le fait que la priorité est attachée à la qualité de "cas-contact" et non à l'utilisation de l'application par elle-même ».

Reste donc à voir ce que l'application proposera comme information à ce sujet. Ce 15 février, elle affichait plus de 13 millions d'« enregistrements nets » (à savoir de personnes ayant téléchargé et activé l'application) depuis le 2 juin 2020, et 140 150 personnes s'étant déclarées positives dans l'application (soit 1,07 % de ses utilisateurs). TousAntiCovid ne recense par ailleurs que 78 772 potentiels « cas contacts » notifiés par l'application (soit 0,6 % du total). Les utilisateurs ayant déclaré leur positivité dans l'application n'auraient donc, en moyenne, permis de notifier que 1,78 autres personnes qu'elles pourraient potentiellement être des « cas contact ».

Des remontées statistiques pour améliorer les performances

Le décret prévoit en outre la réalisation d'« analyses statistiques à partir des données anonymes issues de l'application afin d'adapter les mesures de gestion nécessaires pour faire face à l'épidémie et d'améliorer les performances de l'application ».

D'après les éléments transmis par le ministère à la CNIL, ces analyses statistiques ne constituent « ni des traitements à des fins de recherche, d'études et d'évaluation dans le domaine de la santé, ni des traitements visant à adapter les mesures de gestion nécessaires à la lutte contre l'épidémie ».

Le ministère a précisé au CCL qu’il s’agissait de mettre en place des paramètres dans l’application permettant d’évaluer la manière dont les personnes l’utilisent : données de navigation de l’utilisateur, temps d’activation moyen du Bluetooth dans la journée, temps d’ouverture moyen de l’application, nombre de contacts « scorés », nombre de contacts croisés.

Il s’agirait d’identifier ce qui fonctionne ou non dans l’application, afin de pouvoir évaluer certaines dimensions de son efficacité. Le but serait également de disposer de données statistiques pouvant être mis en regard des indicateurs employés par Santé Publique France (SPF), ceci afin de mieux guider l’utilisateur grâce à différentes recommandations et conduites à tenir.

« Concernant la dimension confidentielle », relevait d'ailleurs le CCL, « quand une personne choisit de se déclarer positive dans TAC, elle autorise la remontée de ses contacts sans jamais faire remonter son identifiant. C’est dans cette remontée que les données statistiques se retrouvent, sans lien donc avec des données nominatives ou pseudonymisées ».

« Il s’agit d’une analyse d’usage et ceci pourrait être indiqué plus précisément », soulignait le CCL, pour qui « les objectifs de ces analyses, le type de données traitées et les destinataires des analyses doivent être explicités ». La CNIL demandait elle aussi que le projet de décret « soit précisé sur ce point et sur les données effectivement traitées à cette fin ». Ces deux demandes de précisions concernant les données n'ont pas été suivies d'effet dans le décret.

Des « transferts de données vers les États-Unis »

La Commission relève en outre que l'analyse d'impact relative à la protection des données (AIPD) transmise par le ministère mentionne que les dispositifs fonctionnant sous le système d'exploitation iOS ont désormais recours à un système de « notifications push ».

Le ministère indique en effet que le bon fonctionnement de l'application sur ces appareils « nécessite, en raison des limitations techniques imposées par Apple, qu'elle soit réactivée périodiquement, faute de quoi les interrogations régulières du serveur central pour vérifier le statut d'exposition au virus de l'utilisateur ne pourraient intervenir ».

Techniquement, explique la CNIL, ce système se traduit par l'envoi d'une « notification » qui « implique l'envoi de données supplémentaires au serveur central ainsi qu'au serveur de notification d'Apple, et notamment un identifiant unique spécifique au terminal et à l'application ».

La Commission reconnaît l'intérêt de recourir à cette fonctionnalité, « par ailleurs commune à la plupart des applications développées sur iOS (notamment pour avertir l'utilisateur d'une mise à jour), dans le cadre de la crise sanitaire, dès lors qu'elle permet de "réveiller" l'application aux fins d'interroger le serveur central ».

Elle attirait néanmoins l'attention du ministère sur le fait que cette fonctionnalité « pourrait entraîner des transferts de données vers les États-Unis nécessaires au bon fonctionnement technique de l'application ». Elle invitait à ce titre le ministère à « se rapprocher de la société Apple pour avoir confirmation que cette fonctionnalité n'implique pas de transfert ou pour essayer, le cas échéant et dans la mesure du possible, de les éviter. En tout état de cause, l'information des utilisateurs de l'application devra être clarifiée en conséquence ».

Dès lors, elle suggérait au ministère de compléter le projet de décret afin de mentionner, au titre des données traitées, les données techniques nécessaires à ces « notifications push ». Là encore, elle n'a pas été entendue. La Commission regrettait au surplus que l'AIPD dédiée au dispositif relatif aux codes-QR mis à disposition dans certains lieux, en cours de réalisation, ne lui ai pas été transmise en appui de la saisine.

Elle demande donc que celle-ci lui soit transmise et rappelle « en tout état de cause que les risques résiduels devront être ramenés à un niveau acceptable. Elle réitère enfin son appel à la transparence sur ce point et recommande que cette AIPD soit rendue publique ».

Un traitement autorisé « jusqu'au 31 décembre 2021 »

Au-delà des modifications commentées par la CNIL, le décret autorise le traitement « jusqu'au 31 décembre 2021 », alors qu'il l'était jusqu'alors « pour une durée ne pouvant excéder six mois après la cessation de l'état d'urgence sanitaire ».

Initialement prorogé jusqu'en juillet 2020, il l'avait depuis une nouvelle fois été jusqu'en février, et a récemment été de nouveau prorogé jusqu'au 1er juin 2021. L'article 5 du décret disposait à ce titre que « le responsable de traitement rend public un rapport sur le fonctionnement de StopCovid dans les trente jours suivant le terme de la mise en œuvre de l'application, et au plus tard le 30 janvier 2021 ». Les mots « et au plus tard le 30 janvier 2021 » sont supprimés.

Le précédent décret disposait par ailleurs qu'« un arrêté du ministre chargé de la santé, pris après avis de l'Agence nationale de santé publique, définit les critères de distance et de durée du contact permettant de considérer que deux téléphones mobiles se trouvent, au regard du risque de contamination par le virus du Covid-19, à une proximité suffisante l'un de l'autre ».

Le nouveau remplace cet alinéa pour préciser que « les critères de contact entre deux téléphones permettant de considérer que leurs utilisateurs se trouvent dans une situation présentant un risque de contamination par le virus du Covid-19 sont définis par l'Agence nationale de santé publique et sont rendus publics. » La FAQ de TousAntiCovid n'a, elle, pas été mise à jour depuis le 21 octobre 2020.

L'avis de la CNIL se bornant au volet juridique de la mise à jour, restent, au demeurant, les questions et problèmes d'usage et de faisabilité : comment seront générés et distribués les QR Codes, seront-ils scannés par les utilisateurs de l'application, quel sens cela aurait-il d'être alerté parce que l'on se serait trouvé dans un même établissement « au même moment », mais pas dans la même salle (nonobstant le respect des mesures barrières), et donc quels seront les « seuils » permettant de définir la notion de visite d'un établissement « en même temps » ?...

Les députés ont adopté le projet de loi Séparatisme, y compris ses articles relatifs à la « haine en ligne ». Il introduit de nouvelles infractions, une transcription par avance du règlement relatif au Digital Services Act outre de nouvelles procédures de comparution immédiate. Panorama complet, avant examen au Sénat.

Sans grande surprise, le projet de loi Séparatisme (devenu celui confortant les principes de la République) a été adopté par 347 pour, 151 contre. 65 députés se sont abstenus. L'épisode parlementaire a permis à Laetitia Avia de réchauffer plusieurs dispositions qu’elle avait portées lors de sa proposition de loi contre la haine en ligne.

Devenue rapporteure du projet de loi, elle a pu ainsi sauver des articles qui furent censurés par contamination par le Conseil constitutionnel. Pour mémoire, toute sa proposition de loi avait été architecturée sur l’obligation de retrait en 24 h ou 1 h des contenus haineux ou « terroristes ». L’incompatibilité flagrante de ces dispositions avec les textes fondateurs avait contraint les Sages à trapper la quasi-totalité de son texte, texte que la députée affirmait mordicus conforme durant les débats.

Délit de mise en danger de la vie d’autrui par la diffusion d’informations

À l’article 18, le projet de loi déposé par le gouvernement introduit d’abord une nouvelle infraction dans le Code pénal. Elle vient condamner la pratique de doxing, lorsque ces divulgations d'informations personnelles sont faites dans un but malveillant.

Voilà la future disposition : 

« Art. 223-1-1. – Le fait de révéler, de diffuser ou de transmettre, par quelque moyen que ce soit, des informations relatives à la vie privée, familiale ou professionnelle d’une personne permettant de l’identifier ou de la localiser aux fins de l’exposer, elle ou les membres de sa famille, à un risque direct d’atteinte à la personne ou aux biens que l’auteur ne pouvait ignorer est puni de trois ans d’emprisonnement et de 45 000 euros d’amende.

Lorsque les faits sont commis au préjudice d’une personne dépositaire de l’autorité publique, chargée d’une mission de service public ou titulaire d’un mandat électif public, les peines sont portées à cinq ans d’emprisonnement et à 75 000 euros d’amende.

Lorsque les faits sont commis au préjudice d’une personne mineure, les peines sont portées à cinq ans d’emprisonnement et à 75 000 euros d’amende.  »

Il est une alternative à l’article 24 de la proposition de loi sur la sécurité globale, celui contre lequel de nombreuses manifestations avaient été organisées. Avec des différences néanmoins.

Il ne s’agit plus seulement de protéger l’image du visage des policiers, diffusés sur Internet dans un but malveillant. Et le nouveau texte n'est plus dans la loi de 1881, mais dans le Code pénal. La surface de frappe est donc considérablement élargie, pas seulement sur le terrain de la prescription.

Durant les débats, plusieurs voix se sont opposées à cette disposition, introduite en réaction à l’assassinat de Samuel Paty. « Pardonnez-moi de le formuler ainsi, mais l’article 18 s’appuie sur une seule étude d’impact, le meurtre de Samuel Paty, et résulte d’une réaction à chaud. Nous craignons, dans ces conditions, qu’il ait des conséquences négatives non anticipées » a ainsi regretté le député LFI Éric Coquerel. Ce « nouveau délit prévu à l’article 18 ne fait-il pas courir un risque de détournement de certaines procédures ? » s’est interrogé Frédéric Reiss LR.

Dans une série d’amendements de suppression, Frédérique Dumas (Libertés et Territoires) a considéré que cet article « écorne la liberté puisqu’il existe un risque d’autocensure ». Ainsi, « si l’on ne peut plus divulguer d’informations sur la vie professionnelle d’un individu, les journalistes peuvent s’autocensurer ».

Pour vanter au contraire ses mérites, Laetitia Avia a d’abord tenté de couper les ponts avec la sulfureuse proposition de loi sur la sécurité globale. « Vos interventions, chers collègues, ont souvent mentionné l’article 24 de la proposition de loi relative à la sécurité globale. Pour toute question relative à ce texte, je vous renvoie au travail d’auditions et de concertation que mène la présidente de la commission des lois, Mme Yaël Braun-Pivet, pour déterminer l’opportunité d’y apporter des évolutions ». Et celle-ci d’ajouter « plutôt que d’être obsédés par l’article 24, concentrons-nous sur le texte dont nous avons à débattre ».

Le 18 du projet de loi n’aurait donc rien à voir avec le 24 de la proposition de loi, et ne gênerait en rien la liberté de la presse. « Si l’intention est d’informer, alors l’article 18 n’a pas vocation à s’appliquer », dixit le garde des Sceaux, Éric Dupond-Moretti. « Contrairement à ce que prétendent les députés de la France insoumise, ce n’est pas flou : l’intention de nuire n’est pas celle d’informer » précise-t-il au fil des débats.

Il fallait s'y attendre : les amendements qui visaient à préserver « le droit d’informer » de ce champ infractionnel ont tous été repoussés. Éric Coquerel n’a su convaincre lorsqu’il décrivit ce scénario : « des policiers peuvent facilement, lors d’une manifestation, présupposer une intention de nuire et agir de manière préventive en plaçant par exemple des personnes en garde à vue ou en leur confisquant leur matériel ».

Certes, un tribunal sera saisi et donnera raison à terme au journaliste… mais a posteriori. Et trop tard. « Vous devrez répondre des cas où ceux qui seront accusés d’avoir cherché à nuire devront passer par la garde à vue avant de pouvoir démontrer qu’ils n’ont aucune volonté de nuire. Il y aura là, de fait, une interdiction d’informer le plus largement possible » a appuyé Olivier Faure (PS).

Au final, l’infraction adoptée par les députés contient deux éléments : un élément matériel, soit le fait de « révéler, de diffuser ou de transmettre, par quelque moyen que ce soit, des informations relatives à la vie privée, familiale ou professionnelle d’une personne permettant de l’identifier ou de la localiser ». Et un élément intentionnel, la transmission de ces informations dans le but d’exposer la personne ou les membres de sa famille « à un risque direct d’atteinte à la personne ou aux biens que l’auteur ne pouvait ignorer ».

Les députés profitent d’une circonstance aggravante, non les handicapés

L’article est taillé pour protéger les personnes des pratiques dites de doxing (divulgation des données personnelles), non sans prévoir une circonstance aggravante au bénéfice de certaines d’entre elles.

Les sanctions seront en effet plus lourdes lorsque les faits viseront une personne dépositaire de l’autorité publique, chargée d’une mission de service public, titulaire d’un mandat électif public ou enfin les mineurs. De trois ans d’emprisonnement et de 45 000 euros d’amende, on passe à cinq ans d’emprisonnement et 75 000 euros d’amende.

Les amendements qui visaient à ajouter à cette liste, les personnes vulnérables ou en situation de handicap n’ont pas été adoptés. Laetitia Avia a bien « cherché à sous-amender les amendements proposés, mais les modifications auraient été trop substantielles pour faire l’objet de sous-amendements et permettre leur adoption ». Le sujet pourrait être retravaillé avec les sénateurs.

En attendant, le groupe Agir a par contre obtenu un vote favorable pour bien préciser que « les personnes concernées par cette circonstance aggravante sont notamment les parlementaires et les élus locaux ». 

L’amendement Zemmour

L’article 18 a été voté par 97 voix pour, 10 contre, dans un hémicycle conquis à la majorité LREM.

Par la suite des échanges, un amendement 2092 a fait l’objet de nombreuses discussions. Déposé par le groupe Agir ensemble, il visait à permettre aux juges d’ordonner, à titre de peine complémentaire, la diffusion de la condamnation d’une personne sur les chaînes de télévision.

Pour ses instigateurs, « il s’agit notamment de permettre aux juges d’ordonner cette obligation de diffusion d’une condamnation pour incitation à la haine sur les chaînes de télévision qui emploieront ou inviteront une personne condamnée, jusqu’à deux mois après sa condamnation ».

En bref, un moyen d’informer les téléspectateurs ou les auditeurs sur les condamnations prononcées « contre des personnalités invitées ou employées par des chaînes de télévision », et donc de rappeler que tel éditorialiste sulfureux a été condamné pour injure et provocation à la haine, au hasard contre l’islam ou l’immigration...

Laetitia Avia, si prompte à vouloir lutter contre ces infractions sur les réseaux sociaux, s’est opposée à une telle disposition : « je ne voudrais pas qu’on puisse nous reprocher de prendre une mesure aussi lourde de conséquences que celle-ci alors que nous n’avons pas organisé la moindre audition sur le sujet et que nous n’avons pas consulté les acteurs concernés ».

Le garde des Sceaux a embrayé dans le même sens : « Cette proposition revient à créer une forme de responsabilité du fait d’autrui, en obligeant la chaîne concernée à supporter un préjudice à raison d’un fait qu’elle n’a pas commis – à moins de considérer qu’inviter une personne condamnée est en soi une faute justifiant une sanction, mais ce n’est pas l’état du droit ».

Frédérique Dumas, très aiguisée, a été surprise du rejet de cet amendement rapidement baptisé « amendement Zemmour » par le député Sébastien Jumel. Et ce, alors que le gouvernement a introduit un amendement de « dix pages » visant à retranscrire le Digital Service Act, sans l’ombre d’une concertation.

Et Avia n’a pas suggéré cette fois de retravailler ce sujet au Sénat, ou qu’il soit aiguisé durant les débats à venir, avec arbitrage en Commission mixte paritaire.

« Si cet amendement était adopté, ce serait une ignominie démocratique à l’encontre de la liberté d’expression. Vous avez cité la cible, certains viennent de la confirmer : un journaliste, qui a des convictions. Et ces convictions méritent d’être défendues… » ne s’est pas prié de commenter le très droitier Éric Ciotti, Des « convictions » quand les initiateurs de l’amendement ciblaient des condamnations pénales.

Lutte contre les sites miroirs

À l’article 19, le projet de loi consacre de nouveaux outils pour lutter contre les sites miroirs. Une autorité publique pourra réclamer blocage et déréférencement des répliques (identiques ou « équivalentes »), directement chez les FAI, les hébergeurs et les moteurs. Sans passer par la case juge, sans contrôle externe.

Le juge reviendra dans la boucle si l’autorité n’obtient pas gain de cause : « lorsqu’il n’est pas procédé au blocage ou au déréférencement desdits services en application du présent article, l’autorité judiciaire peut être saisie, en référé ou sur requête, pour ordonner toute mesure destinée à faire cesser l’accès aux contenus de ces services. »
Cette mesure concerne les infractions suivantes :

• apologie des atteintes volontaires à la vie, à l’intégrité de la personne, des agressions sexuelles, vols, extorsions et destructions, dégradations et détériorations volontaires dangereuses pour les personnes (cinquième alinéa de l’article 24 de la loi du 29 juillet 1881) ;
• apologie des crimes de guerre, des crimes contre l’humanité, des crimes de réduction en esclavage, d’exploitation d’une personne réduite en esclavage, des crimes et délits de collaboration avec l’ennemi (cinquième alinéa de l’article 24 de la loi du 29 juillet 1881) ;
• provocation à la discrimination, à la haine ou à la violence à l’égard d’une personne ou d’un groupe de personnes à raison de leur origine ou de leur appartenance ou de leur non-appartenance à une ethnie, une nation, une race ou une religion déterminée (septième alinéa de l’article 24 de la loi du 29 juillet 1881) ;
• provocation à la discrimination, à la haine ou à la violence à l’égard d’une personne ou d’un groupe de personnes à raison de leur sexe, de leur orientation sexuelle ou identité de genre ou de leur handicap (huitième alinéa de l’article 24 de la loi du 29 juillet 1881) ;
• propos relevant du harcèlement sexuel (article 222-33 du code pénal) ;
• traite des êtres humains (article 225-4-1 du Code pénal) ;
• proxénétisme ou assimilé (articles 225-5 et 225-6 du Code pénal) ;
• enregistrement ou diffusion d’images pédopornographiques (article 227-23) ;
• fabrication, transport ou diffusion d’un message à caractère violent, incitant au terrorisme, pornographique ou de nature à porter gravement atteinte à la dignité humaine ou à inciter des mineurs à se livrer à des jeux les mettant physiquement en danger (article 227-24 du Code pénal) ;
• provocation à des actes de terrorisme ou apologie de tels actes (article 421-2-5 du Code pénal).

Une liste très longue, qui concernera aussi les sites pornographiques simplement accessibles aux mineurs. L’amendement a été taillé néanmoins pour lutter contre Democratie Participative, du nom du site raciste et homophobe plusieurs fois bloqué, mais sans cesse sur le retour.

Il a été enrichi en séance. Ainsi, l’autorité administrative tiendra une liste à jour des sites bloqués, miroirs compris, qu’elle mettra à disposition des annonceurs et autres régies de pub’. L’espoir ? Que ces services en ligne voient leurs ressources financières se raréfier. La fameuse approche Follow The Money.

Dans un amendement 657, Éric Bothorel a bien tenté d’améliorer encore son efficacité. Son souhait ? Que l’autorité administrative (très certainement l’OCLCTIC) puisse réclamer des mesures de restrictions à « toute personne » susceptible de contribuer à empêcher l’accès aux miroirs. Et pour cause, « entre le contenu et ceux qui peuvent agir, il y a bien plus que des hébergeurs ou des fournisseurs d’accès à internet : il y a aussi des navigateurs et d’autres acteurs qui protègent les sites, y compris parfois des sites d’État, et qui tronquent les adresses IP ».

La rapporteure Laetitia Avia s’y est lourdement opposée au motif que « l’action visée s’inscrit dans le cadre de la loi pour la confiance dans l’économie numérique, ou LCEN, qui distingue trois catégories juridiques d’acteurs : les FAI, ou fournisseurs d’accès à internet, les hébergeurs et les éditeurs. Or ceux que vous visez n’appartiennent pas à ces catégories ».

Et la députée LREM d’insister : « il ne faut surtout pas donner à l’autorité administrative des pouvoirs dont même un juge ne dispose pas ». Elle a suggéré un retrait d’amendement, tout comme Cédric O, à charge de trouver une nouvelle rédaction durant la navette.

La prétranscription du Digital Services Act

Cette mesure introduite par amendement gouvernemental et de Laetitia Avia vient bouleverser le calendrier européen, puisque la Commission européenne a dévoilé sa proposition de règlement destiné à revoir les obligations pesant sur les acteurs du web en décembre dernier.

• Le Digital Services Act expliqué ligne par ligne 

Sans attendre la fin de ces travaux européens, la France a fait son marché pour introduire dans notre droit des obligations présentes dans le texte bruxellois. « Il s’agit d’un article essentiel pour la lutte contre la haine en ligne », dixit Laetita Avia.

Mais l'article a été lourdement critiqué par les députés des autres bords. Pour Frédérique Dumas, « alors qu’un travail commun est en cours, les autres pays doivent se demander pourquoi nous prenons un bout du projet pour l’appliquer à notre législation nationale, alors même que sa base juridique n’est pas consolidée. Ce n’est pas la meilleure méthode si nous voulons convaincre d’autres pays ! »

Sous l’égide du CSA, une pluie de nouvelles obligations pèsera sur les épaules des plateformes en ligne. Un déluge même puisque l’article en question fait sept pages.

• Ils mettent en œuvre des procédures et des moyens humains et technologiques proportionnés permettant :

1. 1. D’informer, dans les meilleurs délais, les autorités judiciaires ou administratives des actions qu’ils ont mises en œuvre à la suite des injonctions reçues
   2. D’accuser réception sans délai des demandes des autorités judiciaires ou administratives tendant à l’identification des utilisateurs
   3. De conserver temporairement les contenus signalés qu’ils ont retirés

• Ils désignent un point de contact unique
• Ils mettent à la disposition du public, de façon facilement accessible, leurs CGU où «  ils y décrivent en
  termes clairs et précis leur dispositif de modération visant à détecter, le cas échéant, à identifier et à traiter ces contenus, en détaillant les procédures et les moyens humains ou automatisés employés à cet effet ainsi que les mesures qu’ils mettent en œuvre affectant la disponibilité, la visibilité et l’accessibilité de ces contenus »
• Ils rendent compte au public des moyens mis en œuvre et des mesures adoptées pour lutter contre la diffusion des contenus haineux
• Ils mettent en place des dispositifs d’alertes
• Ils mettent en œuvre des procédures et des moyens humains et technologiques proportionnés permettant

1. 1. D’accuser réception sans délai des notifications visant au retrait d’un contenu
   2. De garantir l’examen approprié de ces notifications dans un prompt délai
   3. D’informer leur auteur des suites qui y sont données
   4. D’en informer l’utilisateur à l’origine de sa publication, si ces acteurs décident de retirer (même si le contenu est pédopornographique ou terroriste…). Les raisons sont données et il est informé des voies de recours
      Ils mettent en œuvre des dispositifs de recours interne permettant de contester les décisions relatives aux contenus (retrait ou non)

• Ils exposent dans leurs conditions d’utilisation, en des termes clairs et précis, ces procédures de retrait, pouvant conduire à des résiliations de compte pour les cas les plus graves (car répétés)
• Les acteurs dépassant un seuil de connexion devront évaluer les risques systémiques liés à leurs services. Ils devront mettre en place des mesures destinées à atténuer les risques de diffusion des contenus illicites rattachés à la liste.
• Ils doivent rendre compte au CSA des procédures et moyens

Dans le même temps, le CSA se voit doter de tout un arsenal de moyens pour contrôler ces obligations. Quand un acteur ne se conforme pas à ses mises en demeure, il encourra une amende pouvant atteindre 20 millions d’euros ou 6 % du chiffre d’affaires annuel mondial total de l’exercice précédent (le montant le plus élevé étant retenu).

Un «permis » Internet, ou plutôt une simple attestation

La mesure a là aussi été voulue par Laetita Avia. Ce pseudo-permis prendra surtout la forme d’une attestation que recevront les élèves en fin de primaire ou collège. Elle attestera « qu’ils ont bénéficié d’une sensibilisation au bon usage des outils numériques et des réseaux sociaux ainsi qu’aux dérives et aux risques liés à ces outils. »

Une révolution de papier. Le Code de l’Éducation prévoit déjà que ces élèves reçoivent une « formation à l'utilisation responsable des outils et des ressources numériques » qui comporte « une éducation aux droits et aux devoirs liés à l'usage de l'internet et des réseaux, dont la protection de la vie privée et le respect de la propriété intellectuelle, de la liberté d'opinion et de la dignité de la personne humaine, ainsi qu'aux règles applicables aux traitements de données à caractère personnel ». 

Cette formation doit aussi contribuer « au développement de l'esprit critique, à la lutte contre la diffusion des contenus haineux en ligne et à l'apprentissage de la citoyenneté numérique ». Et comporte « également une sensibilisation sur l'interdiction du harcèlement commis dans l'espace numérique, la manière de s'en protéger et les sanctions encourues en la matière ».

Pas suffisant aux yeux de Laetitia Avia qui veut consacrer cette formation par une attestation axée notamment sur les risques.

Ajoutons que le projet de loi introduit aussi la possibilité de comparution immédiate pour certaines infractions au droit de la presse.

« Si l’on soumet ces prévenus à une comparution immédiate, la décision judiciaire pourra s’inscrire dans le temps rapide des réseaux sociaux. Si elle est prononcée suffisamment vite, la peine produira pleinement l’un de ses effets nécessaires, celui d’exemplarité, non pas seulement sur l’opinion publique, mais aussi sur la personne condamnée, qui songera : "J’ai commis une faute, j’ai été sanctionné ; je ne récidiverai pas." Une telle vertu pédagogique de la peine est importante », estime Laetitia Avia.

Même avis d'Éric Dupont Moretti : « ceux qui, le lundi, diffusent la haine en ligne, ce véritable poison de notre société, pourront être jugés le mardi, si le dossier le permet : voilà qui parle au justiciable, voilà qui fait véritablement exemple. Les gamins doivent savoir qu’il n’est plus possible de raconter impunément n’importe quoi sur les réseaux sociaux ».