Le projet de loi visant à lutter contre le dérèglement climatique est examiné à partir d’aujourd’hui en commission spéciale puis durant les 15 prochains jours. Près de 5 000 amendements ont été déposés. Morceaux choisis.

Le projet de loi entend traduire les dispositions de nature législative recommandées par la Convention citoyenne pour le climat. Si la pureté de cette traduction est contestée – seules dix propositions seraient reprises sans filtre selon FranceTvInfo  – le texte catalyse de nombreux amendements qui entendent verdir notre société par le biais des TIC.

Information des consommateurs

L’article 1 rend obligatoire l’affichage « destiné à apporter au consommateur une information relative aux caractéristiques environnementales » d’un bien ou d’un service. Cet affichage par voie de marquage, d’étiquetage ou tout autre procédé approprié (y compris par voie électronique) devrait faire notamment ressortir « de façon facilement compréhensible pour les consommateurs, l’impact en termes d’émissions de gaz à effet de serre des biens et services sur l’ensemble de leur cycle de vie. »

Des députés de la majorité entendent aiguiser cette information. Ils veulent par exemple qu’elle fasse ressortir l’indice de durabilité imposé par la loi de février 2020 relative à la lutte contre le gaspillage et à l’économie circulaire sur certains biens. 

D’autres, comme Éric Bothorel, souhaitent que ces informations soient « mises à disposition du public par voie électronique, dans un format aisément réutilisable et exploitable par un système de traitement automatisé sous une forme agrégée ». Dans l’exposé des motifs, est cité l’exemple de Yuka, application qui évalue l’impact des produits sur la santé.

À l’amendement 2332, Paula Forteza aimerait améliorer cette information des consommateurs, mais cette fois « quant à l’empreinte environnementale des réseaux de téléphonie mobile et d’Internet ».

Concrètement ? Il reviendrait à l’Autorité de régulation des communications électroniques (ARCEP) de recueillir des informations auprès des opérateurs « en vue de lui permettre de développer une approche de régulation par la donnée en matière environnementale ». 

Dans le même sens, les amendements 462 de Pierre Vatin, 584 de Delphine Batho et 1330 de plusieurs députés LREM veulent informer le consommateur de l’impact carbone du visionnage de vidéo en ligne.

Les sites de streaming, à compter du 1er janvier 2022, auraient l’obligation de jauger cet impact « selon le type de connexion utilisé, selon le niveau d’affichage et de résolution proposé ainsi que selon le support de visionnage ». Les menus détails seraient définis par décret d’application. 

Cette attention sur l’impact environnemental du numérique est également à l’honneur d’un amendement 521 du député LR Thibault Bazin. À l’instar du Nutri-Score, il propose « que le consommateur soit alerté, dès sa connexion à un site de vente en ligne de biens ou de services, des impacts écologiques, économiques et sociaux significatifs sur l’environnement de ce mode de distribution ». Parmi les critères cités, l’existence de datas centers, de services de livraison, ou d’emballages et suremballages surabondants, etc.

Volet éducatif

Le projet de loi a un volet éducatif également. À l’article 2, il est prévu que tout au long de la formation scolaire, les élèves disposent d’une éducation à l’environnement et au développement durable.

Depuis le 1er janvier 2021, l’indice de réparabilité est obligatoire sur certains appareils électriques et électroniques (comme les smartphones, les ordinateurs portables). Des députés LREM comptent sensibiliser les jeunes à privilégier les objets « ayant un bon indice de réparabilité, mais aussi à s’assurer qu’ils puissent acquérir des compétences et habiletés manuelles leur permettant de réparer certains objets grâce à des savoir-faire spécifiques, cultivés et développés tout au long du parcours éducatif ». 

Le levier publicitaire

Des amendements proposent de rendre contraignante la recommandation développement durable de l’Autorité de Régulation Professionnelle de la Publicité (ARPP). « Il est interdit de diffuser une publicité qui banalise ou valorise les pratiques ou les idées contraires aux objectifs du développement durable ou qui discrédite les principes et les objectifs communément admis en matière de développement durable » propose par exemple l’amendement 942

Un exemple : avec un tel critère, « la représentation d’un véhicule à moteur sur un espace naturel est interdite. En revanche, sa représentation sur une voie ou zone publique ou privée ouverte à la circulation, reconnaissable comme telle et se distinguant clairement de l’espace naturel est admise ».

En l’état, l’article 4 du projet de loi va interdire dans l’année qui suit l’entrée en vigueur de la future loi, les publicités en faveur des énergies fossiles. C’est un décret en Conseil d’État qui précisera la liste des énergies fossiles concernées (et les modalités s’appliquant aux énergies renouvelables incorporées avec dans des énergies fossiles).

Des députés voudraient aller plus loin encore que le texte initial. Ainsi l’amendement 5060 étend cette interdiction à tous les produits et services à « fort impact négatif sur l’environnement ».

L’interdiction serait progressive, étalée sur 10 ans, sachant que constituerait un impact négatif sur l’environnement « toute atteinte aux espaces, aux ressources et aux milieux naturels terrestres et marins, aux sites, aux paysages diurnes et nocturnes, à la qualité de l’air, au climat ou à la biodiversité ». Et c’est un décret qui viendrait établir la liste des catégories de produits et services « à fort impact négatif ». Elle comprendrait les véhicules particuliers émettant des gaz à effet de serre, les produits électroménagers fortement consommateurs d’énergie, les liaisons aériennes domestiques et internationales, etc.

Au 4709, les députés LREM veulent que l’Arcep publie, en lien avec le Conseil supérieur de l'audiovisuel, « un rapport annuel mesurant l'impact environnemental des différents modes de réception pour à la fois la télévision et les services de médias audiovisuels à la demande ».

Ce rapport aurait vocation « à renforcer l'information des consommateurs sur la consommation énergétique et les émissions de gaz à effet de serre liées à la consommation de contenus audiovisuels » par chacun des modes de réceptions ou terminaux (hertzien, par câble, satellite, fibre, ADSL, réseaux de téléphonie mobile). « Il permettrait par ailleurs de mieux évaluer les évolutions des usages audiovisuels et aider les citoyens à faire des choix éclairés dans leur consommation ».

Des consignes sur les smartphones

Plusieurs amendements plaident pour l’instauration d’un système de consigne pour les téléphones portables. Son montant forfaitaire serait proportionnel au prix total hors taxes de l’appareil.

« Il convient d'inciter les utilisateurs à retourner leurs appareils en magasin lorsqu’ils ne les utilisent plus, au moyen d’un système de consigne, versée lors de l’achat d’un appareil neuf, et remboursée lors du retour du dit appareil en magasin » réclament plusieurs députés MoDem.

« Ceci incitera les utilisateurs à ne pas conserver d’appareils fonctionnels inusités. En outre, cela dynamisera les filières nationales de réemploi en mettant des stocks dormants sur le marché et en faisant participer les professionnels de manière plus massive qu’actuellement et, partant, cela les fera évoluer vers une prise en compte plus développée du réémploi et du reconditionné dans leurs modèles économiques ».

Un amendement similaire a été déposé par Paula Forteza. Deux députés Libertés et Territoires veulent même généraliser ce système de consigne, par le biais d’expérimentations portant sur les connectiques informatiques et électroniques, les téléphones portables, les ordinateurs et les imprimantes .

« Selon une étude de l’ADEME 30 millions de téléphones dormiraient dans nos tiroirs alors même qu’il existe une collecte dédiée pour les téléphones. Une énorme marge d’amélioration de la collecte est possible et nécessaire. Elle est en outre la condition de la viabilité d’une filière française du reconditionnement » prévient dans le même sens l’amendement 1983.

Au 1329, Paula Forteza fait peser sur les professionnels une nouvelle obligation : offrir aux consommateurs la possibilité « de pouvoir changer aisément et par lui-même, lorsque cela est possible, la batterie en lui permettant l’accès à cette pièce de rechange pour une durée de dix ans à compter de la dernière date de commercialisation du produit ».

Plus de mises à jour ? Alors code libéré

Et au 2370, la même élue compte contraindre le vendeur qui ne fournit plus de mises à jour, à diffuser « gratuitement sous format électronique, dans un standard ouvert librement réutilisable et exploitable par un système de traitement automatisé, les codes sources afférents au produit concerné. »

« Imposer l’ouverture des codes sources afférents aux produits numériques ne recevant plus de mises à jour permettrait ainsi aux informaticiens de colmater d’éventuelles failles de sécurité, ce qui contribuerait à allonger la durée de vie des appareils concernés. Ces derniers n’étant plus commercialisés, le passage en open source n’aurait aucun impact économique pour les constructeurs » estime l’élue, qui indique au passage que son amendement est inspiré par une proposition de l’association Halte à l’obsolescence programmée (HOP).

Un chèque réparation de 50 euros

Inspiré de l’opération « Coup de pouce vélo », le n°1399 propose de mettre en œuvre un dispositif analogue pour les appareils électriques et électroniques. Les consommateurs profiteraient d’un chèque de 50 euros pour faire réparer smartphones, ordinateurs et autres tablettes.

Ce montant s’appliquerait « à toutes les prestations participant à la remise en état d’un appareil électrique ou électronique : changement d’écran, de batterie, ajout de RAM, reformatage... »

Au passage, plusieurs députés LREM plaident pour une TVA à taux réduits pour les produits reconditionnés et pour les services de réparation de biens comportant des éléments numériques.

Le texte et ses amendements étant particulièrement larges, l’éventail des propositions concerne également le télétravail. Paula Forteza souhaite ainsi faire reconnaître le télétravail comme un droit. « Le télétravail est de droit, un jour par semaine, pour tout salarié dont les missions sont éligibles à cette forme d’organisation du travail » prévient son amendement. « L’employeur ne pourra s’opposer à ce que le salarié exerce ce droit, à raison d’un jour par semaine, dès lors que ses missions peuvent être effectuées à distance ».

La Commission nationale de l’informatique et des libertés (CNIL) a obtenu en justice le blocage du site diffusant le fichier des patients. Next INpact diffuse l’ordonnance de référé rendue le 4 mars 2021, par le premier vice-président au tribunal judiciaire de Paris.

La fuite du fichier contenant les informations de 500 000 patients a déjà des répercussions judiciaires. Dans un communiqué, la CNIL indique avoir saisi la justice aux fins d’obtenir le blocage de l’un des sites hébergeant le fameux fichier.

« Cette décision fait suite aux investigations immédiatement lancées par la CNIL après la révélation dans la presse de cette violation de données » prévient encore l’autorité qui révèle avoir mené jusqu’alors trois opérations de contrôle.

Elle indique aussi avoir « pris les mesures nécessaires auprès des organismes concernés afin que les personnes dont les données ont été diffusées soient informées de cette violation par les laboratoires dans les meilleurs délais ».

Que prévoit exactement cette fameuse ordonnance de blocage ?

Un éditeur inconnu, des demandes restées sans réponse

Déjà, on découvre l’historique des démarches entreprises par la commission. Le 24 février 2021, ses services ont procédé à une opération de contrôle en ligne, pour constater qu’un lien partagé sur un forum de discussion pointait vers le fameux fichier hébergé sur un serveur tiers. 

• Ce que révèle le fichier des 500 000 patients qui a fuité 

La CNIL a analysé ce fichier aux 491 840 lignes. Selon le résumé dressé par l’ordonnance :

« Chaque ligne se rapporte à une personne physique identifiée par son nom d’usage (éventuellement accompagné de son nom patronymique), son prénom, sa date de naissance, son numéro de téléphone fixe et/ou portable, son numéro de sécurité sociale (NIR), son adresse postale et son adresse électronique. Ces informations sont complétées par d’ autres données, comme le nom et les coordonnées du médecin traitant, la date de la dernière visite médicale, le nom de l’assuré social dont le patient est ayant-droit ».

« Des données médicales sont également renseignées, comme le groupe sanguin, le facteur rhésus et l’existence ou non d’une affection de longue durée (ALD). Un champ nommé « commentaires » contient des indications libres qui peuvent renvoyer, à nouveau, à d’autres données à caractère personnel (numéro de mutuelle, par exemple). Plusieurs de ces champs contiennent des indications relatives à l’état de santé des intéressées ».

Constatant l'ampleur de la fuite, elle a tenté d’obtenir le retrait de ce fichier auprès de l'éditeur de ce site « .gg » (pour les îles de Guernesey). Vainement puisque l’adresse de son contact a renvoyé un message d’erreur. Quant à CloudFlare, l'intermédiaire utilisé par ce site n’a même pas daigné répondre. 

Faute de mieux, le 1er mars 2021, une assignation en référé d’heure à heure a été délivrée à la requête de la CNIL.

Un blocage de 18 mois aux frais des FAI

Elle a enjoint Orange, Free, SFR et Bouygues Télécom de « mettre en œuvre ou de faire mettre en œuvre, sans délai et de manière définitive et illimitée, toutes mesures les plus adaptées et les plus efficaces de surveillance ciblées de nature à assurer le blocage effectif du fichier "full *****.7z" ». À défaut, elle a réclamé le blocage du site « *****.gg) ou à défaut d’une adresse URL pointant vers le fameux fichier.

En face, les FAI lui ont expliqué qu’ils ne pouvaient ni bloquer ni procéder à la suppression d'un seul fichier ou d'un contenu qui se trouverait sur un site.

Dans son ordonnance, le juge a relevé sans mal que « la mise en ligne de ce fichier, contenant de très nombreuses données relatives à l’identité et à la santé de près de 500 000 personnes, constitue une atteinte grave et immédiate aux droits des personnes concernées, notamment le droit au respect de la vie privée ».

Et pour faire cesser cette atteinte, il n’y a plus mille solutions au regard du contexte : le blocage.

Si la CNIL défendait une mesure illimitée dans le temps, le juge a opté pour une solution présentée comme plus appropriée et proportionnée : « délivrer injonction aux fournisseurs d’accès à internet de mettre en oeuvre ou de faire mettre en oeuvre, sans délai et pour une période de 18 mois à compter de la présente décision toutes mesures les plus adaptées et les plus efficaces de surveillance ciblées de nature à assurer le blocage effectif du service de communication au public en ligne "*****.gg" sur leurs réseaux ».

Relevons enfin que le juge judiciaire n’a pas voulu condamner la CNIL, autorité administrative indépendante, « à prendre en charge le coût des mesures effectivement prises par les fournisseurs d'accès internet au vu de la séparation des autorités administratives et judiciaires ».

Un fichier simplement planqué sous le tapis

« Cette décision montre qu’un référé heure à heure peut fonctionner. Assignation le 1er, audience le 3 et décision le 4 mars », commente Me Alexandre Archambault.

L’avocat spécialisé dans le numérique relève toutefois que si la solution va réduire l’exposition du fichier, « celui-ci reste accessible à des fins malveillantes » (d’où la sécurisation des URL citées dans le PDF, réalisée par nos soins).

« La CNIL a fait au plus pressé tout en faisant bien les choses : un référé heure à heure et une procédure contradictoire ». Seule solution pour gagner davantage en efficacité : passer par le guichet des autorités américaines ou saisir un juge californien pour demander l’intervention de CloudFare. Un traitement qui s'inscrit néanmoins dans un calendrier plus long. 

• Télécharger l'ordonnance de blocage

Après l'Assemblée nationale, le Sénat examinera la proposition de loi sur la sécurité globale en séance publique les 16, 17 et 18 mars. Le texte est déjà passé au crible de la commission des lois, où il a subi plusieurs modifications.

Le projet de loi sécuritaire porté par le groupe LREM sera examiné en séance publique dans quelques jours. En commission des lois, sans surprise, l’article 24 a été réécrit sur proposition des rapporteurs Marc-Philippe Daubresse et Loïc Hervé.

Dans sa version adoptée par les députés, la disposition visait à réprimer le fait de diffuser dans un but malveillant l’image du visage des policiers. Mesure qui avait suscité d’imposantes critiques, notamment au regard du risque d’atteinte à la liberté de la presse, à la liberté d’information et de communication.

Les sénateurs ont préféré réécrire ce passage en lui préférant deux volets : le premier punit de 5 ans d’emprisonnement et de 75 000 euros d’amende la provocation à l’identification d’un agent agissant dans le cadre d’une opération de police, dans un but malveillant. Mesure étendue au partenaire, conjoint, concubin et enfant de l’agent. Le second volet interdit de traiter les données de ces agents, hors des finalités prévues par les textes.

Le champ de l’article 24, version sénateurs, est donc beaucoup plus large : il ne se limite pas à la seule image du visage des agents. Il frappe en outre la provocation à l’identification, non plus la diffusion d’images.

Pas de guerre des images sur les réseaux sociaux

La Commission des lois a aussi fait sauter la possibilité pour l’Intérieur d’utiliser les images captées par les caméras individuelles des forces de l’ordre à des fins « d’information du public ».

L’idée défendue à l’Assemblée ? Permettre au ministère d’apporter sa version des faits, notamment sur les réseaux sociaux, lorsque des vidéos sont échangées, captées notamment par des manifestants. Au Sénat, la commission n’a pas été vraiment charmée par cette guerre des images. « Revient-il aux pouvoirs publics d’alimenter le climat délétère qui règne actuellement dans les relations entre la police et la population dans le but de concurrencer les images diffusées sur les réseaux sociaux ? » se demandent plusieurs sénateurs. 

Même avis des rapporteurs : « Les images captées par la police ont un caractère exclusivement probatoire, et non polémique ou illustratif. Elles ne sauraient donc juridiquement être mises sur le même plan que celles tournées par des journalistes voire de simples particuliers. » 

L’avis de la CNIL sur la proposition de loi a été pris en compte afin de prévoir de nouvelles garanties. Il s’agira par exemple d’« encadrer la consultation directe des images des caméras mobiles ». Le texte précise en ce sens « les conditions opérationnelles justifiant cette consultation immédiate (faciliter la recherche d’auteurs d’infraction, la prévention d’atteintes imminentes à l’ordre public, le secours aux personnes ou l’établissement fidèle des faits lors des comptes rendus d’interventions), et ajoute une exigence de traçabilité des consultations ainsi réalisées ».

Des drones sans reconnaissance faciale 

Toujours à ce stade, les sénateurs ont souhaité réduire les capacités de ces outils utilisés par les forces de l’ordre. Déjà le nouveau dispositif ne doit pas s’appliquer selon eux à l’ensemble des aéronefs avec caméras, mais aux seuls drones, sans pilote. La commission a aussi souhaité pour l’occasion « réaffirmer les principes de nécessité et de proportionnalité et la soumission de l'usage des drones à la loi "Informatique et libertés" ».

Ces élus comptent par exemple prohiber « la captation du son depuis ces aéronefs, l’analyse des images issues de leurs caméras au moyen de dispositifs automatisés de reconnaissance faciale, ainsi que les interconnexions, rapprochements ou mises en relation automatisés des données à caractère personnel issues de ces traitements avec d’autres traitements de données à caractère personnel ».

Ils ont donc découplé « drones » et « reconnaissance faciale », sans prévoir un régime identique pour les caméras mobiles dont les images pourront être transmises en temps réel au poste de commandement.

De même, si le texte autorise toujours l’envol de ces drones lors des rassembles de personnes, ce sera seulement « lorsque les circonstances font craindre des troubles à l’ordre public d’une particulière gravité » ou « lorsque des circonstances liées aux lieux de l'opération rendent particulièrement difficile le recours à d’autres outils de captation d’images ou sont susceptibles d’exposer leurs agents à un danger significatif ».

Autre chose, ce déploiement dans le cadre de la lutte contre les crimes et délits graves sera soumis à autorisation, délivrée par décision écrite et motivée du procureur de la République territorialement compétent. L’autorisation devra déterminer à la fois le périmètre, mais aussi la période ainsi que les infractions concernées. 

Pas de moratoire sur la reconnaissance faciale

La commission des lois a cependant refusé d’imposer un moratoire de deux ans, visant à interdire aux autorités l’usage de la biométrie sur les flux captés par les caméras de surveillance dans l’espace public.

« Les données faciales sont des données biométriques sensibles, uniques et irrévocables. Elle nécessite une protection accrue. On ne peut y recourir par de simples biais législatifs sans avoir préalablement examiner les enjeux qu'elles soulèvent en matière de libertés publiques, d’éthique et de consentement » ont plaidé, vainement, plusieurs sénateurs PS.

Selon nos informations, le député Philippe Latombe se saisit de la question des produits reconditionnés. Dans deux amendements sur la rampe parlementaire, il veut interdire la perception de la redevance Copie privée sur ces biens en seconde vie.

Ce n’est plus un secret. Les ayants droit regardent avec vif intérêt le développement des produits reconditionnés en France, en particulier les smartphones et les tablettes. Leur appétence n’est pas liée aux questions écologiques, à la préservation des ressources et autres futilités, mais au potentiel rémunérateur de ce marché porteur.

Et pour cause, si les sociétés de gestion collective perçoivent cette redevance sur les produits neufs lors de leur mise sur le marché, les biens reconditionnés ont jusqu’alors été épargnés. Pour corriger le tir, les ayants droit ont déjà initié plusieurs actions en justice auprès de reconditionneurs afin de prélever finalement cette ponction sur l’ensemble des biens revendus depuis cinq ans en France. Les dossiers sont en cours devant les tribunaux.

Pour l’avenir, le chantier est au ministère de la Culture. L’enjeu ? Ébaucher cette fois un barème spécifique très rapidement. Tout devrait s’accélérer en mars, avec la mise en place d’un vague questionnaire d’usages permettant ensuite d’adopter un tarif spécifique à ce second marché.

Si le temps s’accélère, c’est qu’au Parlement, les menaces grondent. Déjà, le Sénat a adopté un amendement dans le cadre de la proposition de loi visant à réduire l'empreinte environnementale du numérique. La disposition, qui n’a pas encore été examinée par les députés, interdit de prélever la douloureuse sur les supports « issus d’activités de préparation à la réutilisation et au réemploi de produits ayant déjà donné lieu à une telle rémunération. »

« Juridiquement discutable et fortement contre-productif »

Selon nos informations le député Philippe Latombe (Modem) s’est aussi emparé du sujet. Dans le projet de loi « portant lutte contre le dérèglement climatique et renforcement de la résilience face à ses effets », il a déposé un premier amendement selon lequel « les supports reconditionnés ne sont pas assujettis à la redevance [copie privée] ».

Trois arguments militent pour ce non-assujettissement, selon lui : d’abord, « quand ils étaient neufs, ces produits ont déjà été soumis à cette redevance, et ce pour toute leur durée de vie, y compris en cas de recyclage et d’utilisation de seconde main. Il est donc anormal qu’ils y soient assujettis de nouveau ».

« De plus, ajoute l’élu, ces matériels sont reconditionnés par des entreprises d’insertion, une filière qui ne peut survivre si la redevance copie privée absorbe presque toute la faible marge que peut espérer le revendeur (par exemple sur une marge de 18 €, la copie privée représenterait 14 €) ».

Dernier argument, « la clientèle de ces matériels recyclés est en général une clientèle à revenus modestes pour laquelle cette filière contribue à résoudre la problématique de la fracture numérique, ou une clientèle très investie, avec raison, sur les vertus environnementales du recyclage ».

Selon lui, pas de doute : « l’assujettissement de ces matériels à la redevance de copie privée serait à la fois juridiquement discutable et fortement contre-productif au regard des objectifs portés par la loi ».

Dans un second amendement, de repli, il propose que la rémunération pour copie privée ne soit pas due non plus « par les personnes qui acquièrent des supports reconditionnés ».

Au gouvernement, les ministères se déchirent sur le sujet. La Rue de Valois est nécessairement favorable à cet assujettissement, contrairement au ministère de la Transition écologique de Barbara Pompili, et au secrétariat d’État au Numérique de Cédric O, qui l'un et l'autre craignent des coups très durs pour la filière et l’environnement.

L’exécutif ne veut pas entendre parler d’un encadrement européen de l’obligation de conservation des données de connexion. Devant le Conseil d’État, il redouble d’arguments pour considérer que la CJUE s’est plantée. Et qu’il convient de ne pas appliquer ses décisions. 

La question de la conservation des données de connexion est complexe pour le profane. Données de connexion ? Obligation de conservation ?

Derrière ces brumes, se cache une obligation pesant sur de nombreux intermédiaires techniques (plateformes, opérateurs, etc.) consistant à devoir stocker un an durant l’ensemble des données de trafic et de localisation des contenus utilisateurs. Ce sont les « qui », « quand », « quoi », « d’où », « comment » de *toutes* les communications électroniques, posts, commentaires en ligne, etc.

• Les données de connexions accessibles aux services du renseignement

En France, cette obligation se manifeste juridiquement par un joli pied de nez. Si l'article L. 34-1 du Code des postes et des télécommunications consacre un principe d’effacement immédiat de ces données, c’est pour le réduire en poudre quelques lignes plus bas.

Ce même article prévoit en effet de multiples dérogations pour imposer cette conservation généralisée et indifférenciée aux opérateurs et prestataires, pour « les besoins de la recherche, de la constatation et de la poursuite des infractions pénales », la Hadopi, l’ANSSI ou encore les services du renseignement et d’autres administrations...

Selon leur champ de compétence, ces autorités peuvent dès lors remonter le passé numérique d’une personne, en quête d’éléments matériels ou de simples indices. Et sans surprise, services du renseignement, Hadopi, administrations, etc. défendent tous le privilège d’un tel droit d’accès quand les internautes ne s’imaginent pas vraiment que de ce sillage, peut être déduit un grand nombre d’informations sur la vie privée, et pas seulement le graphe social des individus.

Le 14 avril 2015, durant les débats autour de la loi Renseignement, la députée Isabelle Attard l’expliquait par l’exemple lorsqu’elle voulut témoigner de la sensibilité de ces données de trafic et localisation, face aux données de contenus :

« Vous vous êtes par exemple connectés à un site de rencontres échangiste ou fétichiste deux fois par jour pendant un mois, mais – nous dit-on – on ne sait pas du tout ce que vous avez écrit ou lu… Autre exemple, vous avez appelé Sida Info Service pendant douze minutes, puis un laboratoire d’analyses médicales pendant deux minutes. Une semaine plus tard, le laboratoire vous a rappelé. On ne sait pas ce que vous vous êtes dit, mais il vous a rappelé, et vous avez ensuite appelé votre médecin pendant quinze minutes, mais, encore une fois, on ne sait pas vraiment de quoi vous avez parlé. »

Dis-moi ce que tu métadonnes, je te dirai qui tu es

Les législations des États membres étant de plus en plus gourmandes d’exceptions en la matière, la Cour de justice de l’UE a tiré plusieurs coups de canon dans le ciel de l’UE.

Le 8 avril 2014 dans son arrêt fondamental « Digital Rights Ireland », elle devinait derrière cette obligation de conservation, une profonde ingérence dans la vie privée des millions de citoyens concernés.   

Et pour cause, de telles informations, « prises dans leur ensemble, sont susceptibles de permettre de tirer des conclusions très précises concernant la vie privée des personnes (…) telles que les habitudes de la vie quotidienne, les lieux de séjour permanents ou temporaires, les déplacements journaliers ou autres, les activités exercées, les relations sociales de ces personnes et les milieux sociaux fréquentés par celles-ci ».

Dans cet arrêt Digital Rights, la Cour de Justice de l’Union européenne ne rejetait pas cette conservation des données, mais exigeait des garanties solides, des textes clairs, outre que l’obligation soit réservée à la seule lutte contre les infractions graves, principe de proportionnalité faisant.

Pas d’open-bar donc, mais une définition sérieuse des durées de rétention variant selon les situations, outre une délimitation des accès des autorités compétentes en sus évidemment d’un haut niveau de sécurité chez les opérateurs.

Le 21 décembre 2016, nouveau coup de semonce. Avec l’affaire « Télé2 », la CJUE jugeait contraire au droit européen « une réglementation nationale prévoyant, à des fins de lutte contre la criminalité, une conservation généralisée et indifférenciée de l’ensemble des données relatives au trafic et des données de localisation de tous les abonnés et utilisateurs inscrits concernant tous les moyens de communication électronique ».

Par ces deux couches, le droit européen a donc généré d’une jurisprudence de plus en plus protectrice pour les uns, mais beaucoup trop restrictives aux yeux de certains États membres, et tout particulièrement la France.

Quand la France défend l’obligation de conservation indifférenciée

Déjà, dans l’affaire de 2016, l’avocat général de la CJUE relatait comment le pays des Droits de l’Homme avait multiplié d’arguments pour se libérer du joug européen et de ses multiples garanties.

Selon la grille de lecture de Paris, la directive de 2002 relative à la protection de la vie privée dans le secteur des communications électroniques exclut de cet encadrement européen les dispositions nationales régissant l’univers de la sécurité publique, la défense et la sûreté de l’État (article 1, paragraphe 3 de la directive).

Dit autrement, selon Paris, dans ce secteur, les autorités compétentes doivent pouvoir lire le passé, sans les embûches européennes. 

Des arguments qui n’ont pas convaincu la Cour de Luxembourg. Dans son arrêt de 2016, elle a relevé qu’au regard de l’économie générale de la directive de 2002, relèvent bien de ce texte, les lois des États membres imposant à des fournisseurs de conserver les données relatives au trafic et les données de localisation, « puisqu’une telle activité implique nécessairement un traitement, par ceux-ci, de données à caractère personnel ».

Contentieux de la conservation des données de connexion

Armées de ces deux arrêts, Privacy International FDN, FFDN, et la Quadrature du Net notamment ont attaqué plusieurs dispositions internes devant les juridictions nationales.

En juillet 2018, plutôt que de rendre un arrêt mettant un terme à cette conservation généralisée, le Conseil d’État, malcomprenant, a préféré réinterroger la Cour de justice de l’Union européenne. L’espoir ? Trouver de nouvelles exceptions justifiant cette obligation de conservation, en particulier dans le cadre de la loi Renseignement.  

• Conservation généralisée des données : le Conseil d'État en quête de justifications devant la CJUE

Sans surprise, ce nouveau round européen a permis au gouvernement français de revenir à la charge devant la cour de Luxembourg. Selon la France, les dispositions de la loi Renseignement, « en ce qu’elles tiennent au maintien de l’ordre public ainsi qu’à la sauvegarde de la sécurité intérieure et de l’intégrité territoriale », relèveraient « des fonctions essentielles des États membres ». il existerait ainsi des secteurs où les jurisprudences européennes sur la conservation des données n’auraient pas droit de cité, ou si peu. 

Là encore, raté : « le seul fait qu’une mesure nationale a été prise aux fins de la protection de la sécurité nationale ne saurait entraîner l’inapplicabilité du droit de l’Union », lui a répondu la CJUE. Plus particulièrement, a-t-elle précisé, « l’ensemble des traitements de données à caractère personnel effectués par les fournisseurs de services de communications électroniques relève du champ d’application de ladite directive ».

Si « cette conservation ne saurait présenter un caractère systématique », la juridiction n’a pas totalement fermé les portes. Une obligation de conservation généralisée reste possible, mais seulement dans des cas spécifiques.

• Conservation des données de connexion : la justice de l'UE siffle la fin du match, ou presque

Des autorités peuvent donc parfaitement enjoindre aux fournisseurs de service de conserver l’ensemble des données de trafic et de localisation de l’ensemble des utilisateurs, mais uniquement  

• Durant une période limitée,
• En présence de circonstances suffisamment concrètes permettant de considérer l’existence d’une menace grave
• Pour la sécurité nationale
• Et d’une menace « réelle et actuelle ou prévisible »

Ces réponses ont été adressées au Conseil d’État qui va maintenant pouvoir rendre sa décision dans une série de requêtes en souffrance, et visant plusieurs textes relatifs à ce thème sensible (les décrets d’applications des articles 851-1 à 851-4 du Code de la sécurité intérieur, mais aussi l’article 10-13 du Code des postes et télécommunications et le décret 25 février 2012 relatif à la conservation des données).

La souveraineté nationale pour contourner la CJUE 

La juridiction administrative va-t-elle enfin tenir compte de cette jurisprudence dans son arrêt attendu dans quelques semaines ou mois ? Pas si sûr.

Selon nos informations, le gouvernement a invité le Conseil d’État à suivre une voie exceptionnelle : se draper derrière l’étendard de la souveraineté nationale et même de l’identité constitutionnelle de la France pour ne pas appliquer les mesures imposées par la CJUE. Il considère que ces juges ont fait une bien mauvaise application du traité de l’UE en allant au-delà de leurs compétences.

Pourquoi ? Toujours selon nos sources gouvernementales, l’exécutif estime que cette jurisprudence vient priver d’effectivité plusieurs principes constitutionnels français, dont le principe de sauvegarde des intérêts fondamentaux de la nation, l’objectif de prévention, de recherches des auteurs d’infraction pénale, et l’objectif de lutte contre le terrorisme.

Interdire la conservation généralisée des données de connexion, sauf dans quelques cas trop spécifiques, priverait finalement la France des moyens d’actions nécessaires pour assurer la mise en œuvre de ces principes fondateurs.

Un véritable « bras d’honneur » adressé à la CJUE qui ne surprend pas vraiment. Au même moment, le gouvernement milite aussi pour colmater cette brèche dans le futur, au travers du projet de règlement ePrivacy, comme l’a souligné le professeur Theodore Christakis le long d’un « thread » sur Twitter.

De même, à l’Assemblée nationale, le député Guillaume Larrivé a déjà dénoncé le « hold-up » des décisions de la CJUE en matière de conservation des données de connexion. Dans son rapport sur les cinq ans de la loi Renseignement, l’élu LR estime qu’« on n’aurait sans doute d’autre solution que de considérer que la primauté du droit européen cesse quand on se trouve au cœur du cœur de la souveraineté nationale et de notre droit constitutionnel ». 

Un quatrième arrêt de la CJUE

Pendant que la France gesticule pour éviter la régulation européenne, ce 2 mars, patatras : après Digital Rights, Télé2, la décision La Quadrature du Net, un quatrième arrêt a été rendu par la Cour de justice.

Dans cette affaire née en Estonie, une personne fut reconnue coupable des chefs de vol, d’utilisation de la carte bancaire d’un tiers et de violence à l’égard de personnes participant à une procédure en justice. Elle avait été identifiée par l’accès aux données conservées par les opérateurs. Des preuves recevables ?

La Cour européenne a une nouvelle fois jugé que le droit de l’UE s’oppose à une législation permettant l’accès d’autorités publiques aux données de connexion, si cet accès n’est pas « circonscrit à des procédures visant à la lutte contre la criminalité grave ou à la prévention de menaces graves contre la sécurité publique ».

En l’espèce surtout, elle a relevé que la réglementation estonienne était pour le moins fragile : elle ne prévoyait aucune limitation de la période pour laquelle l’accès auxdites données était sollicité, ni la quantité ou la nature des informations disponibles. Un bel accès open bar.

Mieux. Elle a jugé au passage que le droit européen tout comme la Charte des droits fondamentaux s’opposent aux réglementations qui donnent compétence au ministère public d’autoriser à la fois ces accès aux données tout en conduisant l’enquête pénale. Une double casquette qui s’oppose au principe d’indépendance qui vaut aussi en la matière.

Sur son compte personnel, Matthieu Audibert, doctorant en droit privé et sciences criminelles, anticipe en France un « gros problème parce que concrètement en flagrance et en préliminaire, c'est le parquet qui est à la manœuvre ». Il devance également une « avalanche des pourvois déposés à la Cour de cassation », notamment sur certaines affaires comme celle qui a conduit à la condamnation récente de Nicolas Sarkozy.

Me Alexandre Archambault rappelle pour sa part que plusieurs réformes législatives ont été entreprises ces dernières années sans que les rustines nécessaires n’aient été apposées, malgré les arrêts de la CJUE. « Les autorités françaises, en persistant dans leur refus de procéder aux adaptations qui s’imposent de la procédure pénale afin de la mettre en conformité, portent une lourde responsabilité dans le gel des enquêtes pénales à compter de ce jour ».

Un fichier contenant les informations de 500 000 patients a fuité sur Internet et fait la une des médias ces derniers jours. S'il contient très peu de données médicales, il recèle des dizaines de milliers de mots de passe, numéros de téléphones, adresses postales et e-mails... « en clair ».

La fuite de données de santé concernant près de 500 000 patients, révélée il y a quelques jours, n'est pas si « massive » que cela. Après l'avoir analysée, nous relevons qu'elle touche 27 laboratoires d'analyses biologiques « seulement » (si l'on ose dire), situés dans le quart nord-ouest de la France (dont environ 350 000 Bretons).

Ce fichier recèle très peu de données médicales. La base de données contient un peu plus de 150 catégories, dont une cinquantaine portant sur des données des patients. Les plus sensibles sont les noms (y compris de jeune fille voire de conjoint au besoin), prénoms, adresses postales et électroniques, numéros de sécurité sociale, de téléphones fixes et de portables, ainsi que l'identifiant et le mot de passe utilisés pour accéder aux analyses biologiques.

Les autres catégories de données concernent les médecins des patients, laboratoires où ils avaient été envoyés effectuer une analyse biologique, le « préleveur » qui s'était occupé d'eux, ainsi que leur tiers payant. On note d'ailleurs qu'une bonne partie de ces catégories ne sont tout simplement pas renseignées dans le fichier.

Nous ainsi avons comptabilisé 489 838 numéros de sécurité sociale (ou NIR) et 478 882 personnes identifiées par leurs noms de famille, dont 268 983 femmes, 195 828 hommes, 13 478 qualifiées d'« enfant », 425 de « bébé » et 265 de « sœur ».

160 000 portables, 55 000 emails, 15 000 mots de passe

La base de données dénombre 270 569 numéros de téléphone fixe et 159 591 portables. À titre de comparaison, les 16 590 médecins fichés sont associés à 14 928 numéros de téléphones fixes et 1 971 portables. Le fichier répertorie également 55 738 adresses email uniques de patients et 337 de médecins.

Dans le « top 10 » des domaines les plus présents que nous avons reconstitués, on trouve :

• 15 385 @gmail.com
• 14 418 @orange.fr
• 6 040 @hotmail.fr
• 5 579 @wanadoo.fr
• 3 530 @yahoo.fr
• 2 082 @sfr.fr
• 1 601 @hotmail.com
• 1 576 @free.fr
• 1 074 @live.fr
• 6 489 autres domaines

Mais 11,4 % seulement des patients dont des données ont fuité ont vu leur adresse email divulguée. Le fichier contient néanmoins des mots de passe, pour 14 997 d'entre eux (3 %), associés à leur « identifiant SR » (pour serveur de résultat, le site où ils étaient invités à récupérer les résultats de leurs analyses biologiques). 

Comme on pouvait s'y attendre, nombreux sont les patients à utiliser des mots de passe similaires. Nous en avons décompté 11 443 uniques. À défaut de constituer un « échantillon représentatif » de la population, le fait qu'ils aient été utilisés par des personnes de tous âges et de toutes origines sociales dresse un aperçu instructif.

Sans surprise, on retrouve en effet le traditionnel et célèbre « azertyuiop », et 27 de ses déclinaisons (de type azerty1, AZERTY2, azerty22 ou encore azertAZERT). La base de données émanant pour la plupart de laboratoires bretons, y figurent également nombre de déclinaisons de breizh ou de Bretagne.

• Choisir un bon mot de passe : les règles à connaître, les pièges à éviter

Abr1bu$, M0u$71qu3, P4T0uch3

Pour l'essentiel, on pourrait les diviser en cinq catégories sur-représentées (les mots de passe qui suivent ont tous été modifiés de sorte d'en refléter la structure sans risque de compromettre ceux qui figurent dans le fichier) :

• Déclinaisons de dates : 01071981, 03sept69, 02.juju.19, 11septem, 11onzonz, 1948pierre ;
• Déclinaisons de prénoms, que l'on retrouve à foison : albert1, albert2, albert3, etc. ;
• Phrases ou expressions concaténées : jesuisgent, jesuismala, Je+suis+ne, jevaisbien, Jevisarenn, jevousaime, louisdefun, monmariage, Mot2passe, motdepasse, Pluscompli, prisedesan... et sans que l'on comprenne si la limitation à 10 caractères correspond à une « fonctionnalité » du logiciel, ou pas ;
• Combinaisons alphanumériques : 16abcdef, 13juju13, 17groseill, 1807mamie, 19gin19gin, 33COUcou, 44Loulou, 4896merde, belle2jour, bebe2019, faitchier9, mes3taupes, mes4loulou, mes5CHATS, mesamours3, mesange22, MesEnfant2, moncoeur21 ;
• Mots « augmentés » ou réécrits en leet speak : 3615Ulla, 37uD!4nt3$, Abr1bu$, bibi21CM, faitBeau?!., france1998, geishadu35, chiennedu22, idylle29, loverboy69, M0u$71qu3, P4T0uch3, rep0rt4g3, Rock1Rol.

On y trouve quelques récurrences étonnantes dans les mots les plus utilisés. Nous avons ainsi dénombré :

• 2 déclinaisons de bibiche, bichon, bidule, bidouille, cacahuete, cracotte, crapaud, framboise, frimousse, frisette, lapin, lapinou, mirador, nana, petitcoeur et toutouille,
• 3 de bichette, cactus, caline, calimero, cochon, diabolo, foufoune, grenouille, Looping, mama, maman, nounours et rocky,
• 4 de bonheur, cookie, espoir, ninouche, pompier, praline, reglisse, romeo, rose et tartine,
• 5 de bonjour, boubou, chaton, choupette, snoopy et tintin,
• 6 de cachou, chocolat, lamotte et pupuce,
• 7 de biscotte, chipie, chouchou, jetaime et minouche,
• 8 de canelle et mamour,
• 10 de noisette et princesse,
• 11 de louloute et soleil,
• 12 de doudou et gribouille,
• 16 de caramel,
• et 26 de loulou.

On trouve également plus de 4 300 mots de passe de type 124578AA, 124578AB, 124578AC, etc., itération laissant supposer qu'un ou plusieurs laboratoires auraient attribué un seul et même mot de passe à plusieurs patients (les identifiants, eux, étant différents). Un même mot de passe avait ainsi été attribué à plus de 800 patients différents.

L'analyse de ces mots de passe montre à tout le moins que les recommandations, en la matière, n'ont toujours pas franchi le plafond de verre et qu'il reste encore beaucoup à faire.

Un fichier « testé » en... mai 2018

Signe que la base de données repose sur un vieux logiciel, on y trouve une catégorie « Consultation Minitel ». Un indice révèle qu'il s'agirait vraisemblablement du logiciel Mega-Bus, comme l'avait reconnu son éditeur, Dedalus France. On y retrouve en effet l'identifiant d'un patient intitulé « TESTMK65535 », associée à une adresse e-mail @mega-bus.com utilisée par un employé de la société, horodaté le 3 mai 2018.

La rubrique « dernière visite » (chez le médecin) montre que le fichier a probablement lui aussi commencé à être renseigné à partir de 2018. Elle dénombre en effet 2 411 rendez-vous datant de 2015, 2 686 de 2016, 60 731 de 2017, mais 200 362 pour l'année 2018, 217 896 en 2019.

Seuls 7 780 rendez-vous datent de 2020, le dernier du 10 octobre, sans que l'on puisse vérifier si cette volumétrie en recul s'expliquerait par les effets du confinement, et/ou par un abandon croissant de Mega-Bus par les laboratoires.

Notre analyse montre une moyenne de 200 occurrences mensuelles pour les années 2015 et 2016, de 4  000 à 7 000 de janvier 2017 à mai 2018, puis de 17 000 à 28 000 de juin 2018 à fin 2019, laissant supposer que le déploiement du logiciel aurait bel et bien en lieu en mai 2018 :

Cette date est importante, d'une part parce que l'on sait depuis 1999 que les mots de passe doivent non seulement être hashés et salés, mais également sécurisés au moyen d'une fonction cryptographique, avec l'objectif d'enrayer toute compromission, même si la base de données a fuité.

La CNIL a, à ce titre, publié près d'une cinquantaine de délibérations rappelant, depuis 2013, que « les mots de passe ne doivent pas être stockés en clair en base de données » et qu'elle « recommande ainsi d’appliquer la fonction de hachage HMAC à clé secrète ».

Le RGPD, adopté en avril 2016, est précisément entré en application en ce mois de mai 2018. En faisant le choix de recourir, à ce moment-là, à un logiciel ne sécurisant pas l'accès aux mots de passe, les responsables des traitements de données, tout comme le fournisseur du logiciel, ne respectaient pas le RGPD.

Ce dernier dispose en effet que les données à caractère personnel doivent être « traitées de façon à garantir une sécurité appropriée ». Il précise également que le montant des amendes administratives est doublé (20 millions, 4 % du C.A.) dans certains cas particuliers, touchant par exemple aux principes relatifs au traitement des données à caractère personnel ou aux données sensibles.

Un des principaux logiciels de gestion des labos privés

L'Agence nationale de la sécurité des systèmes d'informations (ANSSI) a indiqué à l'AFP avoir identifié l'« origine » de la fuite des données de santé, et l'avoir signalée au Ministère des Solidarités et de la Santé en novembre 2020.

« Les recommandations nécessaires ont été données par l'ANSSI pour traiter l'incident », a-t-elle ajouté sans donner aucun détail supplémentaire. « Présent au travers de son logiciel StarLab dans 400 laboratoires, Mega-Bus compte parmi les trois principaux éditeurs de logiciels de gestion pour les laboratoires privés d′analyse médicale en France », précisait un communiqué publié à l'occasion de son rachat en 2009. « A ce titre, cette société dispose d′une connaissance approfondie des spécificités liées aux besoins du secteur privé ».

Son acquéreur, Medasys (depuis été rachetée par Dedalus France) était pour sa part présenté comme jouissant « d′une position de leader national dans les domaines du dossier médical du patient et de la production de soins ». Dans un communiqué laconique, l'entreprise vient d'expliquer que « face à la gravité des sujets évoqués, Dedalus France est pleinement mobilisé et une enquête approfondie est en cours avec le support d’une équipe d’experts indépendants ».

À Libération, l'entreprise avait émis l'hypothèse d'une fuite au moment des transferts vers les nouveaux logiciels, ou bien des problèmes de sécurisation des réseaux des laboratoires, se dédouanant au passage, sans mentionner le fait que les données n'auraient donc pas été chiffrées par son logiciel.

L’an passé, nous avions révélé que ce « leader européen en matière de solutions logicielles de Santé » avait licencié un lanceur d'alerte pour « fautes graves ». Il avait prévenu les autorités de ces problèmes de sécurité et découvert que « n'importe qui pouvait accéder à l'extranet, depuis le web. Ce qui permettait notamment d'accéder aux tickets ouverts par les hôpitaux et laboratoires clients ».

• Un « leader européen » des données de santé licencie un lanceur d'alerte pour « faute grave »

On devrait en apprendre plus d'ici peu. La Commission nationale Informatique et Libertés a en effet lancé mercredi des contrôles pour établir les manquements responsables de la fuite. Si l'ampleur de la fuite était vérifiée, l'affaire présenterait « une gravité particulière » au regard du nombre de victimes et de la sensibilité des informations médicales diffusées, a estimé Louis Dutheillet de Lamothe, secrétaire général de la CNIL.

Évoquant « une violation de données d’une ampleur et d’une gravité particulièrement importante », le gardien des données personnelles rappelle qu'il incombe aux organismes concernés de procéder à une notification auprès de la CNIL, dans les 72 heures. Mais également qu'ils ont en outre l’obligation d’informer individuellement les personnes concernées du fait que leurs données ont été compromises et publiées en ligne.

La section cybercriminalité du parquet de Paris a elle aussi ouvert une enquête mercredi, confiée à l'Office central de lutte contre la criminalité liée aux technologies de l'information et de la communication (OCLCTIC). « On peut retrouver ce fichier à 7 endroits différents sur internet », explique Damien Bancal, journaliste spécialiste de la cybersécurité, qui avait le premier identifié la fuite le 14 février sur son site Zataz.

L'analyse de la propagation de la théorie selon laquelle le coronavirus émanerait d'un laboratoire et non d'une chauve-souris, voire qu'il constituerait une arme biologique créée par des humains, révèle qu'elle a été activement propagée par les autorités chinoises, dans le contexte de leurs rivalités diplomatiques avec l'Amérique de Trump. 

« Attention aux Américains ! », écrivait un utilisateur du réseau social chinois Weibo le 31 décembre 2019, laissant entendre que le virus, qui ne s'appelait pas encore SARS-CoV-2, serait une arme biologique. Une enquête de neuf mois de l'agence Associated Press, menée en partenariat avec le laboratoire de recherche médico-légale numérique (DFRLab) du Conseil de l'Atlantique, a examiné comment la rumeur s'est propagée dans quatre pays (Chine, Russie, Iran et États-Unis) dans les six premiers mois de la pandémie, mais également comment les trois premiers s'en sont servis dans leur guerre informationnelle avec l'Amérique de Trump.

De nombreuses rumeurs se sont largement répandues dans le monde au début de 2020, rappelle DFRLab. Reprises en chœur par les anti-vaxx et complotistes du monde entier, certains de ces récits étaient carrément faux, tandis que d'autres constituaient des préoccupations légitimes mais non vérifiées, concernant la possibilité que le virus soit accidentellement libéré d'un laboratoire chinois.

Certaines laissaient ainsi entendre que le virus avait été conçu comme une arme biologique potentielle, voire qu'il aurait été intentionnellement diffusé pour contaminer la population. L'examen de millions de publications et d'articles sur les réseaux sociaux (Twitter, Facebook, VK, Weibo, WeChat, YouTube, Telegram et d'autres plateformes) indique que c'est la Chine – et non la Russie – qui a pris les devants dans la diffusion de cette désinformation sur les origines de la Covid-19.

Pourquoi ? Car elle était attaquée pour sa gestion précoce de l'épidémie, au point d'amplifier voire de « militariser » la rumeur et d'enclencher une « course aux armements narratifs », pour reprendre le titre du rapport de DFRLab (« Weaponized : how rumors about Covid-19's origins led to a narrative arms race »).

Les responsables chinois réagissaient en cela à un autre récit puissant, nourri aux États-Unis par les groupes QAnon, Fox News, l'ancien président Donald Trump et les principaux républicains, qui le qualifiaient de « virus chinois ».

Le Pew Research Center a ainsi découvert qu'un Américain sur trois pensait que le nouveau coronavirus avait été créé dans un laboratoire, et qu'un sur quatre pensait qu'il avait été conçu intentionnellement. En Iran, de hauts dirigeants ont cité la conspiration des armes biologiques pour justifier leur refus de l'aide médicale étrangère. Des groupes anti-confinement et anti-masque ont qualifié, dans le monde entier, la Covid-19 de canular et d'arme, compliquant les efforts de santé publique pour ralentir la propagation.

Une double pandémie : le virus et la peur 

En janvier, bien avant que la Chine ne commence à propager ouvertement des désinformations, des médias d'État russes s'étaient mobilisés pour légitimer la théorie selon laquelle les États-Unis avaient conçu le virus comme une arme biologique pour saper la Chine, une théorie reprise par la suite par des médias iraniens.

Au cours des deux mois suivants, plus de 70 articles étaient parus dans des médias pro-Kremlin faisant des déclarations similaires en russe, espagnol, arménien, arabe, anglais et allemand, d'après la base de données d'EUvsDisinfo, qui documente la désinformation pour les Européens.

• Covid-19 : le conspirationnisme a aussi été alimenté par la Russie

« Nous avons une double pandémie - le vrai virus pathologique et la pandémie de peur. La peur est ce qui est vraiment en jeu », explique Kang Liu, professeur à l'Université Duke qui étudie la politique culturelle et les médias en Chine, comparant la propagation de la désinformation sur le virus à la propagation du virus lui-même.

Le 2 février 2020, rappelle DFRLab, l'Organisation mondiale de la santé (OMS) publiait un rapport de situation sur la Covid-19 décrivant la pandémie comme présentant une « infodémie » parallèle : « une surabondance d'informations - certaines exactes et d'autres non - qui rend difficile pour les gens de trouver des sources fiables et des conseils fiables quand ils en ont besoin ». L'utilisation du terme était particulièrement appropriée, étant donné la nature virale de l'information elle-même.

Début février, le Quotidien du Peuple, porte-voix du Parti communiste chinois, rapportait qu'un homme ayant diffusé une vidéo affirmant que le nouveau virus serait une arme biologique conçue par les États-Unis avait été arrêté, détenu pendant 10 jours et condamné à une amende pour diffusion de rumeurs.

Mais à peine six semaines plus tard, le même complot était relayé par le Quotidien du Peuple lui-même, ainsi que le ministère chinois des Affaires étrangères, repris par au moins 30 diplomates et missions chinoises, amplifié par le vaste réseau mondial de médias d'État chinois.

Alors que les deux plateformes sont bannies en Chine, le nombre de comptes ouverts par des diplomates chinois a triplé sur Twitter et doublé sur Facebook depuis la mi-2019.

Tout en amplifiant la désinformation, la Chine s'appuyait aussi sur la stratégie et l'infrastructure de désinformation russe, ainsi que les réseaux internationaux qui, eux-mêmes, amplifient leurs mésinformations et théories du complot.

Des infos blanchies

« L'un amplifiait l'autre… À quel point c'était contrôlé par le commandement ou bien opportuniste, c'était difficile à dire », explique Janis Sarts, directeur du Centre d'excellence en communications stratégiques (StratCom) de l'OTAN, basé à Riga, en Lettonie. À long terme, ajoute-t-il, la Chine est « le concurrent et l'adversaire le plus redoutable en raison de ses capacités technologiques ».

« Il y a eu un certain nombre d'histoires dont l'origine se trouve dans un espace contrôlé par la Russie, mais qui est reprise par le site conspirationniste canadien Global Research et ensuite présentée comme sa propre histoire. Ensuite, les médias russes disent que les analystes occidentaux du Canada disent cela. Nous appelons cela du blanchiment d'informations », explique Sarts. « Ils ont été utiles pendant longtemps aux opérations d'information russes et récemment aux Chinois également .»

En mars, Zhao Lijian, un porte-parole du ministère chinois des Affaires étrangères, partageait ainsi une série de tweets relayant un article de Global Research affirmant que l'armée américaine avait créé le SRAS-CoV-2 dans un laboratoire de Fort Detrick, dans le Maryland, avant de l'importer en Chine pendant les Jeux mondiaux militaires, une compétition internationale qui s'était tenue à Wuhan en octobre 2019.

Rien que sur Twitter, la série de 11 tweets de Zhao a été citée plus de 99 000 fois au cours des six semaines suivantes, dans au moins 54 langues, selon l'analyse du DFRLab. Les comptes qui l'ont relayé comptaient près de 275 millions d'abonnés sur Twitter - un nombre qui inclut presque certainement des abonnés en double et ne distingue pas les faux comptes, précise AP.

Le Global Times chinois et au moins 30 comptes diplomatiques chinois, de la France au Panama, le ministre vénézuélien des Affaires étrangères et le correspondant de RT à Caracas, ainsi que des comptes saoudiens proches de la famille royale ont également considérablement étendu la portée des tweets de Zhao, aidant à relayer ses idées en espagnol, en arabe, et dans le monde entier.

Bien que Twitter y soit interdit, les hashtags au sujet de son tweetstorm ont aussi été visionnés 314 millions de fois sur la plate-forme de médias sociaux chinoise Weibo, et le guide suprême iranien Ali Khamenei a lui aussi annoncé que la Covid-19 pourrait être le résultat d'une attaque biologique.

« Le gouvernement américain a-t-il intentionnellement caché la réalité du COVID-19 avec la grippe ? » interrogeait 10 jours plus tard China Radio International. « Pourquoi l'Institut de recherche médicale de l'armée américaine sur les maladies infectieuses à Ft. Detrick dans le Maryland, la plus grande base de tests biochimiques, a fermé ses portes en juillet 2019 ? »

En quelques jours, la théorie est reprise plus de 350 fois dans les médias chinois, principalement en mandarin, mais aussi dans le monde entier en anglais, français, italien, portugais, espagnol et arabe, a découvert AP.

Un « virus politique »

L'histoire a traversé la Chine, via des comptes de médias sociaux gérés par la police, des procureurs, services de propagande, associations anti-sectes et ligues de la jeunesse communiste. Sept prisons de la province du Sichuan, cinq stations de radio routières provinciales et municipales et une douzaine de comptes gérés par le géant des médias d'État CCTV l'ont également relayée.

AP a constaté que l'histoire avait été vue plus de 7 millions de fois en ligne, avec plus de 1,8 million de commentaires, partages ou réactions. Ces chiffres sont sous-dénombrés car de nombreuses plates-formes n'ont pas publié de mesures et ne tiennent pas compte de l'audience de la télévision ou de la diffusion dans des groupes fermés. Les comptes faisant la promotion du contenu comptaient au total plus de 817 millions d'abonnés, bien que beaucoup soient probablement des doublons ou des contrefaçons.

La désinformation Covid-19 a été bénéfique pour le ministère chinois des Affaires étrangères. Le compte Twitter de Zhao compte désormais plus de 880 000 abonnés.

« Toutes les parties devraient fermement dire "non" à la diffusion de la désinformation », a déclaré le ministère chinois des Affaires étrangères dans un communiqué à l'AP, et d'ajouter : « Face à des accusations forgées de toutes pièces, il est justifié et approprié d'écarter les mensonges et de clarifier les rumeurs en exposant les faits. »

« La diffusion de la désinformation sur l'épidémie est en effet en train de propager un "virus politique" », explique le ministère. « Les fausses informations sont l'ennemi commun de l'humanité, et la Chine s'est toujours opposée à la création et à la diffusion de fausses informations. »

Qu'il s'agisse d'une tentative de renforcer la réputation internationale, de rallier le soutien interne en détournant le blâme, de mettre les adversaires sur la défensive ou simplement de semer le chaos informationnel, les récits alambiqués qui ont émergé sur les origines de la Covid-19 n'ont finalement servi les intérêts de personne lorsqu'il s'agissait de lutter contre la pandémie, conclut DFRLab. Un virus ne respecte ni les intérêts nationaux ni les frontières.

Des certitudes, mais aussi des questions 

À défaut d'avoir réussi à identifier l'origine du virus, les responsables de l'OMS ont rappelé lors de la conférence de presse consacrée à leur mission d'enquête en Chine, le 9 février, que l'hypothèse d'un virus conçu par des humains « a déjà été réfutée par toute la communauté scientifique du monde entier ».

De plus, « les résultats suggèrent que l'hypothèse d'un incident de laboratoire est extrêmement peu susceptible d'expliquer l'introduction du virus dans la population humaine ». D'une part parce qu'« il n'existe pas de virus du SRAS-CoV-2 » dans les laboratoires de Wuhan, d'autre part parce qu'« ils ont maintenu un système de gestion très strict et de haute qualité », ce qui rendrait l'hypothèse de fuite émanant d'un laboratoire d'« extrêmement improbable ».

Les responsables de l'OMS n'ont pas, cela dit, mentionné la piste du virus de type SARS qui avait contaminé 6 mineurs en 2012, et tué trois d'entre-eux. Ils l'auraient contracté dans une mine du comté de Mojiang, dans le Yunnan, à plus de 1 000 kilomètres de Wuhan. Émanant de chauves-souris, il ressemblerait au SARS-CoV-2, et aurait été analysé dans plusieurs laboratoires chinois. Mais les journalistes ayant cherché à en savoir plus en ont été empêchés par les autorités.

En attendant une éventuelle future identification de l'origine du coronavirus, on notera que l'OMS propose plusieurs ressources destinées à enrayer l'infodémie. Elle est loin d'être la seule. Citons, notamment, ce rapport de la Fondation pour la recherche stratégique, ce reportage d'Arte, cette enquête co-réalisée par l'AFP, les billets d'EUvsDisinfo ou encore le dossier de DFRLab.

Mardi prochain, les membres de la Commission Copie privée se réuniront une nouvelle fois. À l’ordre du jour, la question de l’assujettissement des biens reconditionnés. Selon nos informations, pour accélérer l’adoption d’un barème spécifique, les ayants droit ont déjà concocté un projet d'étude d’usages « flash ». Aux multiples charmes.

Tout s’accélère au sein de cette commission dite « paritaire », en réalité découpée en trois blocs inégaux. Copie France, derrière laquelle on trouve la SACEM, la SCPP, la SPPF, l’Adami, la Spedidam, la SACD et les autres sociétés de gestion collective, prépare l’assujettissement des ordinateurs fixes, portables et les disques durs nus, rares univers encore préservés. 

Mais l’appétit des collecteurs ne s’arrête pas là : ils souhaitent désormais prélever également la redevance sur le marché des smartphones et des tablettes reconditionnés. Un mât de cocagne au sommet duquel trônent plusieurs dizaines de millions d’euros chaque année.

Des actions en justice pour le passé

Pour espérer le gros lot, ils ont d’abord lancé une pluie d’actions en justice contre les reconditionneurs fin 2019, début 2020. Next INpact le révélait déjà en mai 2020. 

La technique ? Efficace pour les uns, baroque pour les autres : repérer le chiffre d’affaires de ces entreprises. Diviser ensuite ce C.A. par un prix moyen de téléphone. Et enfin, multiplier ce résultat par le barème des smartphones (par exemple 12 euros pour un modèle de 64 Go, 14 euros, au-delà) ou des tablettes.

Une certitude pour Copie France : de telles reventes offrent « à un nouvel utilisateur la possibilité de bénéficier de fonctions identiques de copie privée » que celles d’un appareil neuf. La position était déjà inscrite noir sur blanc dans le dernier rapport annuel de la société civile. 

Autant de points contestés par les reconditionneurs (Smaart, Recommerce, et les autres).

Un barème pour l'avenir

Dans le même temps, les ayants droit préparent un barème spécifique pour ces appareils de seconde vie. Une fois voté, ce tarif, éventuellement moins élevé que celui réservé aux produits neufs, permettra à ces bénéficiaires de bétonner juridiquement les perceptions futures.

Sur la scène, un chef d’orchestre. Jean Musitelli. En novembre dernier, le président de la Commission copie privée avait décidé d’inscrire le sujet du reconditionnement à l’ordre du jour de la Commission. Le 11 décembre 2020, il faisait cette fois adopter un calendrier de travail pour ce nouveau chantier.

Les festivités ouvertes, la suite a coulé de source. Deux mois plus tard, les ayants droit se sont proposés de réaliser l’étude d’usage nécessaire à l’établissement de ce fameux barème.

La génération streaming amputée

Pour mémoire, ces études d’usages consistent à jauger des pratiques de copies auprès d’un panel, pour ensuite déterminer des taux évoluant selon les capacités. Très schématiquement, plus les sondés affirment réaliser des copies, plus les ayants droit peuvent militer pour des barèmes élevés, sachant qu’ils perçoivent les sommes qu’ils déterminent.

En principe ces études d’usages doivent obéir à un tempo, un cadre un peu sérieux, celui du Code des marchés publics. C’est en effet le ministère de la Culture qui prend les devants comme c’est actuellement le cas avec les ordinateurs fixes, les portables et les disques durs nus. 

En se proposant de financer cette étude d’usage, les ayants droit sortent de ce carcan et surtout peuvent espérer un tarif final à brève éch��ance. Et selon nos informations, c’est dans ce contexte qu’ils ont déjà rédigé un projet de questionnaires, qu’ils ont baptisé « étude flash ».

Le document de 21 pages que nous avons pu consulter se limite à quelques questions qui seront posées à des personnes physiques. Ces femmes et ces hommes sauront en introduction que « les résultats de cette étude [seront] strictement anonymes » outre que l’utilisation des données sera « à usage purement statistique ».

Ils ignoreront donc que ces travaux serviront à établir des barèmes de redevance sur les smartphones et les tablettes reconditionnés.

D’entrée, chaque sondé sera invité à révéler son âge. S’il a moins de 18 ans, surprise : le questionnaire s’arrêtera là. Un tel seuil diffère grandement des précédentes études sur les smartphones et les tablettes, réalisées en 2016-2017 où il était alors établi à 15 ans.

Les conséquences d’un relèvement de trois ans ne sont pas minces. Il va effacer toutes les pratiques d’une partie des jeunes utilisateurs, cette génération « Streaming » qui, aux copies sur supports vierges, préfère Netflix, Spotify, Deezer ou YouTube. 

Les résultats de l’étude flash ne seront donc pas tout à fait représentatifs de ces nouveaux moyens de consommations en flux. Avantage pour les ayants droit : le poids des copies étant plus important, ils pourront réclamer une redevance toujours plus musclée.

Synchronisation, priez pour nous

Parmi les autres questions, les sondés devront aussi indiquer si, une fois leur smartphone ou leur tablette reconditionné(e) reçu(e), ils ont procédé à la synchronisation de leur ancien appareil des « titres musicaux, films, vidéos, photos, etc.».

Ils devront aussi révéler dans la foulée s’ils utilisent, ou non, leur nouveau smartphone « de manière équivalente à un smartphone neuf ».

Bien entendu, en partant du principe que la synchronisation est une forme de copie privée, qu’il faut donc compenser avec la perception de la redevance, là encore ce critère permettra in fine de percevoir davantage, alors même que dans l’esprit du consommateur, ces opérations procèdent avant tout d’un simple déplacement de A vers B.

Une étude adossée sur des études... aux « bases faibles »

Dans les études d’usages de 2017, les sondés étaient invités à quantifier très exactement le nombre de fichiers copiés. Cette fois, les ayants droit comptent demander à l’acheteur de produits d’occasion de mesurer « la différence dans vos pratiques de copie ou d’enregistrement de contenus contenant des œuvres (titres musicaux, films/vidéos, images/photos non personnelles/dessins, livres/textes non personnels/ paroles de chanson) avec votre smartphone reconditionné par rapport à ce que vous faisiez précédemment avec un smartphone neuf ».

L'acheteur pourra répondre :

• « Je copie globalement moins à hauteur de près de : …. % »
• « je copie globalement plus à hauteur de près de : ….% »
• « je ne sais pas ».

Si ces répondants expliquent qu’ils copient disons 30 % moins que sur leur ancien téléphone, les ayants droit pourront réclamer un barème en rapport. Le premier avantage sera, disions-nous, de sécuriser les perceptions sur les futures ventes en reconditionné.

Cette technique fondée des chiffres globaux a un autre mérite : sacraliser les anciennes études d’usages, alors même qu’elles souffraient de nombreuses fragilités.

Explications. Suite à une énième procédure CADA, nous avions diffusé en 2020 les questionnaires relatifs aux Smartphones et Tablettes, mais également les réponses afférentes. Ces documents de 2017 avaient par la suite servi à déterminer les barèmes définitifs publiés au Journal officiel le 22 septembre 2018. 

Dans les résultats, l’Institut CSA avait toutefois relevé plusieurs fois la faiblesse des bases de réponses. Selon notre décompte, par 86 fois, la mention « base faible » était apparue dans le sondage relatif aux smartphones. Pour les tablettes, l’occurrence fut de 192 fois.

Quelques exemples : 621 personnes avaient répondu sur les smartphones. Mais seules 48 avaient admis avoir copié un fichier vidéo au cours des six derniers mois. 26 avaient copié un film. 17 personnes, un clip. 3 utilisateurs avaient dupliqué des épisodes de séries TV à partir d’Internet par l’intermédiaire d’un autre support… Même si de moins en moins de personnes copient, la commission avait voté des barèmes de 4 à 14 euros pour les smartphones et de 8 à 14 euros pour les tablettes.

En réclamant désormais aux acheteurs de biens reconditionnés, surtout pas le nombre de fichiers copiés, mais s’ils ont simplement dupliqué plus ou moins de fichiers qu'auparavant, les ayants droit sont en passe de construire un nouveau tarif à partir d'un ancien barème construit sur des bases « bases faibles ». Un astucieux levier pour reconditionner la redevance pour copie privée.

« Nous devrions prendre les décisions dans le mois qui vient » nous confirme le CSA. Le président de l'autorité termine l’instruction du dossier initié par trois associations, en novembre dernier. Elles souhaitent le verrouillage de plusieurs sites pornos jugés trop accessibles aux mineurs.

Le président du Conseil supérieur de l’audiovisuel va-t-il engager la procédure de blocage à l’encontre de Pornhub, Xvideos, Xnxx, Xhamster, Tukif et JacquieetMichel ? Réponse dans quelques jours selon nos informations.

La décision intervient suite à la saisine en novembre dernier du CSA par trois associations, l’Observatoire de la Parentalité et de l’Éducation Numérique (OPEN), le Conseil Français des Associations pour les Droits de l’Enfant (COFRADE, qui compte OPEN dans ses rangs) et l’Union nationale des associations familiales (UNAF).

Cette saisine est intervenue à la suite d’une réforme introduite par la loi du 30 juillet 2020 contre les violences conjugales.

L’article 227-24 du Code pénal réprime déjà le fait de fabriquer, transporter, diffuser un contenu pornographique lorsqu’il est « susceptible d'être vu ou perçu par un mineur ».

La loi de 2020, portée par le camp LREM, est venue préciser que l’infraction reste constituée même lorsque l’accès au site pornographique est conditionné par une déclaration de majorité.

En clair, un simple clic sur « oui, j’ai plus de 18 ans », à l’entrée d’un site X, ne protège plus l’éditeur du délit. Le contrevenant risque donc trois ans d’emprisonnement et 75 000 euros d’amende. Montant multiplié par cinq pour les personnes morales, soit 375 000 euros d’amende.

Le législateur a confié les clefs de cette régulation au gendarme de l’audiovisuel. Plus précisément, lorsqu’il constate qu’un site porno se limite à une telle déclaration d’âge, le président du CSA peut alors lui adresser une mise en demeure pour l’enjoindre à « prendre toute mesure de nature à empêcher l'accès des mineurs au contenu incriminé ».

Le site a ensuite quinze jours pour présenter ses observations. Et si l’injonction n’est pas suivie d’effet, Roch Olivier Maistre, actuel chef de file du CSA, peut saisir le président du tribunal judiciaire de Paris aux fins d'ordonner son blocage d’accès chez les FAI et un déréférencement dans les moteurs.

Pour espérer une telle procédure, la COFRAD, Open, et l’UNAF avaient adressé en 2020 au président du CSA d’épais constats d’huissiers. L’enjeu ? Démontrer l’accessibilité de ces contenus X aux mineurs, et contraindre le président du CSA à « constater ».

Pornhub, Xvideos, Xnxx, Xhamster, Tukif et JacquieetMichel bientôt bloqués ? Tous les sites ne subiront pas forcément une telle restriction d’accès. JacquieetMichel, qui a multiplié les échanges avec le CSA, compte toujours généraliser My18Pass, sa solution maison basée sur OpenID destinée à vérifier « si un utilisateur a bien l’âge requis grâce au moyen, dans un premier temps, d’une vérification par carte bancaire ».

Les députés ont adopté le projet de loi Séparatisme, y compris ses articles relatifs à la « haine en ligne ». Il introduit de nouvelles infractions, une transcription par avance du règlement relatif au Digital Services Act outre de nouvelles procédures de comparution immédiate. Panorama complet, avant examen au Sénat.

Sans grande surprise, le projet de loi Séparatisme (devenu celui confortant les principes de la République) a été adopté par 347 pour, 151 contre. 65 députés se sont abstenus. L'épisode parlementaire a permis à Laetitia Avia de réchauffer plusieurs dispositions qu’elle avait portées lors de sa proposition de loi contre la haine en ligne.

Devenue rapporteure du projet de loi, elle a pu ainsi sauver des articles qui furent censurés par contamination par le Conseil constitutionnel. Pour mémoire, toute sa proposition de loi avait été architecturée sur l’obligation de retrait en 24 h ou 1 h des contenus haineux ou « terroristes ». L’incompatibilité flagrante de ces dispositions avec les textes fondateurs avait contraint les Sages à trapper la quasi-totalité de son texte, texte que la députée affirmait mordicus conforme durant les débats.

Délit de mise en danger de la vie d’autrui par la diffusion d’informations

À l’article 18, le projet de loi déposé par le gouvernement introduit d’abord une nouvelle infraction dans le Code pénal. Elle vient condamner la pratique de doxing, lorsque ces divulgations d'informations personnelles sont faites dans un but malveillant.

Voilà la future disposition : 

« Art. 223-1-1. – Le fait de révéler, de diffuser ou de transmettre, par quelque moyen que ce soit, des informations relatives à la vie privée, familiale ou professionnelle d’une personne permettant de l’identifier ou de la localiser aux fins de l’exposer, elle ou les membres de sa famille, à un risque direct d’atteinte à la personne ou aux biens que l’auteur ne pouvait ignorer est puni de trois ans d’emprisonnement et de 45 000 euros d’amende.

Lorsque les faits sont commis au préjudice d’une personne dépositaire de l’autorité publique, chargée d’une mission de service public ou titulaire d’un mandat électif public, les peines sont portées à cinq ans d’emprisonnement et à 75 000 euros d’amende.

Lorsque les faits sont commis au préjudice d’une personne mineure, les peines sont portées à cinq ans d’emprisonnement et à 75 000 euros d’amende.  »

Il est une alternative à l’article 24 de la proposition de loi sur la sécurité globale, celui contre lequel de nombreuses manifestations avaient été organisées. Avec des différences néanmoins.

Il ne s’agit plus seulement de protéger l’image du visage des policiers, diffusés sur Internet dans un but malveillant. Et le nouveau texte n'est plus dans la loi de 1881, mais dans le Code pénal. La surface de frappe est donc considérablement élargie, pas seulement sur le terrain de la prescription.

Durant les débats, plusieurs voix se sont opposées à cette disposition, introduite en réaction à l’assassinat de Samuel Paty. « Pardonnez-moi de le formuler ainsi, mais l’article 18 s’appuie sur une seule étude d’impact, le meurtre de Samuel Paty, et résulte d’une réaction à chaud. Nous craignons, dans ces conditions, qu’il ait des conséquences négatives non anticipées » a ainsi regretté le député LFI Éric Coquerel. Ce « nouveau délit prévu à l’article 18 ne fait-il pas courir un risque de détournement de certaines procédures ? » s’est interrogé Frédéric Reiss LR.

Dans une série d’amendements de suppression, Frédérique Dumas (Libertés et Territoires) a considéré que cet article « écorne la liberté puisqu’il existe un risque d’autocensure ». Ainsi, « si l’on ne peut plus divulguer d’informations sur la vie professionnelle d’un individu, les journalistes peuvent s’autocensurer ».

Pour vanter au contraire ses mérites, Laetitia Avia a d’abord tenté de couper les ponts avec la sulfureuse proposition de loi sur la sécurité globale. « Vos interventions, chers collègues, ont souvent mentionné l’article 24 de la proposition de loi relative à la sécurité globale. Pour toute question relative à ce texte, je vous renvoie au travail d’auditions et de concertation que mène la présidente de la commission des lois, Mme Yaël Braun-Pivet, pour déterminer l’opportunité d’y apporter des évolutions ». Et celle-ci d’ajouter « plutôt que d’être obsédés par l’article 24, concentrons-nous sur le texte dont nous avons à débattre ».

Le 18 du projet de loi n’aurait donc rien à voir avec le 24 de la proposition de loi, et ne gênerait en rien la liberté de la presse. « Si l’intention est d’informer, alors l’article 18 n’a pas vocation à s’appliquer », dixit le garde des Sceaux, Éric Dupond-Moretti. « Contrairement à ce que prétendent les députés de la France insoumise, ce n’est pas flou : l’intention de nuire n’est pas celle d’informer » précise-t-il au fil des débats.

Il fallait s'y attendre : les amendements qui visaient à préserver « le droit d’informer » de ce champ infractionnel ont tous été repoussés. Éric Coquerel n’a su convaincre lorsqu’il décrivit ce scénario : « des policiers peuvent facilement, lors d’une manifestation, présupposer une intention de nuire et agir de manière préventive en plaçant par exemple des personnes en garde à vue ou en leur confisquant leur matériel ».

Certes, un tribunal sera saisi et donnera raison à terme au journaliste… mais a posteriori. Et trop tard. « Vous devrez répondre des cas où ceux qui seront accusés d’avoir cherché à nuire devront passer par la garde à vue avant de pouvoir démontrer qu’ils n’ont aucune volonté de nuire. Il y aura là, de fait, une interdiction d’informer le plus largement possible » a appuyé Olivier Faure (PS).

Au final, l’infraction adoptée par les députés contient deux éléments : un élément matériel, soit le fait de « révéler, de diffuser ou de transmettre, par quelque moyen que ce soit, des informations relatives à la vie privée, familiale ou professionnelle d’une personne permettant de l’identifier ou de la localiser ». Et un élément intentionnel, la transmission de ces informations dans le but d’exposer la personne ou les membres de sa famille « à un risque direct d’atteinte à la personne ou aux biens que l’auteur ne pouvait ignorer ».

Les députés profitent d’une circonstance aggravante, non les handicapés

L’article est taillé pour protéger les personnes des pratiques dites de doxing (divulgation des données personnelles), non sans prévoir une circonstance aggravante au bénéfice de certaines d’entre elles.

Les sanctions seront en effet plus lourdes lorsque les faits viseront une personne dépositaire de l’autorité publique, chargée d’une mission de service public, titulaire d’un mandat électif public ou enfin les mineurs. De trois ans d’emprisonnement et de 45 000 euros d’amende, on passe à cinq ans d’emprisonnement et 75 000 euros d’amende.

Les amendements qui visaient à ajouter à cette liste, les personnes vulnérables ou en situation de handicap n’ont pas été adoptés. Laetitia Avia a bien « cherché à sous-amender les amendements proposés, mais les modifications auraient été trop substantielles pour faire l’objet de sous-amendements et permettre leur adoption ». Le sujet pourrait être retravaillé avec les sénateurs.

En attendant, le groupe Agir a par contre obtenu un vote favorable pour bien préciser que « les personnes concernées par cette circonstance aggravante sont notamment les parlementaires et les élus locaux ». 

L’amendement Zemmour

L’article 18 a été voté par 97 voix pour, 10 contre, dans un hémicycle conquis à la majorité LREM.

Par la suite des échanges, un amendement 2092 a fait l’objet de nombreuses discussions. Déposé par le groupe Agir ensemble, il visait à permettre aux juges d’ordonner, à titre de peine complémentaire, la diffusion de la condamnation d’une personne sur les chaînes de télévision.

Pour ses instigateurs, « il s’agit notamment de permettre aux juges d’ordonner cette obligation de diffusion d’une condamnation pour incitation à la haine sur les chaînes de télévision qui emploieront ou inviteront une personne condamnée, jusqu’à deux mois après sa condamnation ».

En bref, un moyen d’informer les téléspectateurs ou les auditeurs sur les condamnations prononcées « contre des personnalités invitées ou employées par des chaînes de télévision », et donc de rappeler que tel éditorialiste sulfureux a été condamné pour injure et provocation à la haine, au hasard contre l’islam ou l’immigration...

Laetitia Avia, si prompte à vouloir lutter contre ces infractions sur les réseaux sociaux, s’est opposée à une telle disposition : « je ne voudrais pas qu’on puisse nous reprocher de prendre une mesure aussi lourde de conséquences que celle-ci alors que nous n’avons pas organisé la moindre audition sur le sujet et que nous n’avons pas consulté les acteurs concernés ».

Le garde des Sceaux a embrayé dans le même sens : « Cette proposition revient à créer une forme de responsabilité du fait d’autrui, en obligeant la chaîne concernée à supporter un préjudice à raison d’un fait qu’elle n’a pas commis – à moins de considérer qu’inviter une personne condamnée est en soi une faute justifiant une sanction, mais ce n’est pas l’état du droit ».

Frédérique Dumas, très aiguisée, a été surprise du rejet de cet amendement rapidement baptisé « amendement Zemmour » par le député Sébastien Jumel. Et ce, alors que le gouvernement a introduit un amendement de « dix pages » visant à retranscrire le Digital Service Act, sans l’ombre d’une concertation.

Et Avia n’a pas suggéré cette fois de retravailler ce sujet au Sénat, ou qu’il soit aiguisé durant les débats à venir, avec arbitrage en Commission mixte paritaire.

« Si cet amendement était adopté, ce serait une ignominie démocratique à l’encontre de la liberté d’expression. Vous avez cité la cible, certains viennent de la confirmer : un journaliste, qui a des convictions. Et ces convictions méritent d’être défendues… » ne s’est pas prié de commenter le très droitier Éric Ciotti, Des « convictions » quand les initiateurs de l’amendement ciblaient des condamnations pénales.

Lutte contre les sites miroirs

À l’article 19, le projet de loi consacre de nouveaux outils pour lutter contre les sites miroirs. Une autorité publique pourra réclamer blocage et déréférencement des répliques (identiques ou « équivalentes »), directement chez les FAI, les hébergeurs et les moteurs. Sans passer par la case juge, sans contrôle externe.

Le juge reviendra dans la boucle si l’autorité n’obtient pas gain de cause : « lorsqu’il n’est pas procédé au blocage ou au déréférencement desdits services en application du présent article, l’autorité judiciaire peut être saisie, en référé ou sur requête, pour ordonner toute mesure destinée à faire cesser l’accès aux contenus de ces services. »
Cette mesure concerne les infractions suivantes :

• apologie des atteintes volontaires à la vie, à l’intégrité de la personne, des agressions sexuelles, vols, extorsions et destructions, dégradations et détériorations volontaires dangereuses pour les personnes (cinquième alinéa de l’article 24 de la loi du 29 juillet 1881) ;
• apologie des crimes de guerre, des crimes contre l’humanité, des crimes de réduction en esclavage, d’exploitation d’une personne réduite en esclavage, des crimes et délits de collaboration avec l’ennemi (cinquième alinéa de l’article 24 de la loi du 29 juillet 1881) ;
• provocation à la discrimination, à la haine ou à la violence à l’égard d’une personne ou d’un groupe de personnes à raison de leur origine ou de leur appartenance ou de leur non-appartenance à une ethnie, une nation, une race ou une religion déterminée (septième alinéa de l’article 24 de la loi du 29 juillet 1881) ;
• provocation à la discrimination, à la haine ou à la violence à l’égard d’une personne ou d’un groupe de personnes à raison de leur sexe, de leur orientation sexuelle ou identité de genre ou de leur handicap (huitième alinéa de l’article 24 de la loi du 29 juillet 1881) ;
• propos relevant du harcèlement sexuel (article 222-33 du code pénal) ;
• traite des êtres humains (article 225-4-1 du Code pénal) ;
• proxénétisme ou assimilé (articles 225-5 et 225-6 du Code pénal) ;
• enregistrement ou diffusion d’images pédopornographiques (article 227-23) ;
• fabrication, transport ou diffusion d’un message à caractère violent, incitant au terrorisme, pornographique ou de nature à porter gravement atteinte à la dignité humaine ou à inciter des mineurs à se livrer à des jeux les mettant physiquement en danger (article 227-24 du Code pénal) ;
• provocation à des actes de terrorisme ou apologie de tels actes (article 421-2-5 du Code pénal).

Une liste très longue, qui concernera aussi les sites pornographiques simplement accessibles aux mineurs. L’amendement a été taillé néanmoins pour lutter contre Democratie Participative, du nom du site raciste et homophobe plusieurs fois bloqué, mais sans cesse sur le retour.

Il a été enrichi en séance. Ainsi, l’autorité administrative tiendra une liste à jour des sites bloqués, miroirs compris, qu’elle mettra à disposition des annonceurs et autres régies de pub’. L’espoir ? Que ces services en ligne voient leurs ressources financières se raréfier. La fameuse approche Follow The Money.

Dans un amendement 657, Éric Bothorel a bien tenté d’améliorer encore son efficacité. Son souhait ? Que l’autorité administrative (très certainement l’OCLCTIC) puisse réclamer des mesures de restrictions à « toute personne » susceptible de contribuer à empêcher l’accès aux miroirs. Et pour cause, « entre le contenu et ceux qui peuvent agir, il y a bien plus que des hébergeurs ou des fournisseurs d’accès à internet : il y a aussi des navigateurs et d’autres acteurs qui protègent les sites, y compris parfois des sites d’État, et qui tronquent les adresses IP ».

La rapporteure Laetitia Avia s’y est lourdement opposée au motif que « l’action visée s’inscrit dans le cadre de la loi pour la confiance dans l’économie numérique, ou LCEN, qui distingue trois catégories juridiques d’acteurs : les FAI, ou fournisseurs d’accès à internet, les hébergeurs et les éditeurs. Or ceux que vous visez n’appartiennent pas à ces catégories ».

Et la députée LREM d’insister : « il ne faut surtout pas donner à l’autorité administrative des pouvoirs dont même un juge ne dispose pas ». Elle a suggéré un retrait d’amendement, tout comme Cédric O, à charge de trouver une nouvelle rédaction durant la navette.

La prétranscription du Digital Services Act

Cette mesure introduite par amendement gouvernemental et de Laetitia Avia vient bouleverser le calendrier européen, puisque la Commission européenne a dévoilé sa proposition de règlement destiné à revoir les obligations pesant sur les acteurs du web en décembre dernier.

• Le Digital Services Act expliqué ligne par ligne 

Sans attendre la fin de ces travaux européens, la France a fait son marché pour introduire dans notre droit des obligations présentes dans le texte bruxellois. « Il s’agit d’un article essentiel pour la lutte contre la haine en ligne », dixit Laetita Avia.

Mais l'article a été lourdement critiqué par les députés des autres bords. Pour Frédérique Dumas, « alors qu’un travail commun est en cours, les autres pays doivent se demander pourquoi nous prenons un bout du projet pour l’appliquer à notre législation nationale, alors même que sa base juridique n’est pas consolidée. Ce n’est pas la meilleure méthode si nous voulons convaincre d’autres pays ! »

Sous l’égide du CSA, une pluie de nouvelles obligations pèsera sur les épaules des plateformes en ligne. Un déluge même puisque l’article en question fait sept pages.

• Ils mettent en œuvre des procédures et des moyens humains et technologiques proportionnés permettant :

1. 1. D’informer, dans les meilleurs délais, les autorités judiciaires ou administratives des actions qu’ils ont mises en œuvre à la suite des injonctions reçues
   2. D’accuser réception sans délai des demandes des autorités judiciaires ou administratives tendant à l’identification des utilisateurs
   3. De conserver temporairement les contenus signalés qu’ils ont retirés

• Ils désignent un point de contact unique
• Ils mettent à la disposition du public, de façon facilement accessible, leurs CGU où «  ils y décrivent en
  termes clairs et précis leur dispositif de modération visant à détecter, le cas échéant, à identifier et à traiter ces contenus, en détaillant les procédures et les moyens humains ou automatisés employés à cet effet ainsi que les mesures qu’ils mettent en œuvre affectant la disponibilité, la visibilité et l’accessibilité de ces contenus »
• Ils rendent compte au public des moyens mis en œuvre et des mesures adoptées pour lutter contre la diffusion des contenus haineux
• Ils mettent en place des dispositifs d’alertes
• Ils mettent en œuvre des procédures et des moyens humains et technologiques proportionnés permettant

1. 1. D’accuser réception sans délai des notifications visant au retrait d’un contenu
   2. De garantir l’examen approprié de ces notifications dans un prompt délai
   3. D’informer leur auteur des suites qui y sont données
   4. D’en informer l’utilisateur à l’origine de sa publication, si ces acteurs décident de retirer (même si le contenu est pédopornographique ou terroriste…). Les raisons sont données et il est informé des voies de recours
      Ils mettent en œuvre des dispositifs de recours interne permettant de contester les décisions relatives aux contenus (retrait ou non)

• Ils exposent dans leurs conditions d’utilisation, en des termes clairs et précis, ces procédures de retrait, pouvant conduire à des résiliations de compte pour les cas les plus graves (car répétés)
• Les acteurs dépassant un seuil de connexion devront évaluer les risques systémiques liés à leurs services. Ils devront mettre en place des mesures destinées à atténuer les risques de diffusion des contenus illicites rattachés à la liste.
• Ils doivent rendre compte au CSA des procédures et moyens

Dans le même temps, le CSA se voit doter de tout un arsenal de moyens pour contrôler ces obligations. Quand un acteur ne se conforme pas à ses mises en demeure, il encourra une amende pouvant atteindre 20 millions d’euros ou 6 % du chiffre d’affaires annuel mondial total de l’exercice précédent (le montant le plus élevé étant retenu).

Un «permis » Internet, ou plutôt une simple attestation

La mesure a là aussi été voulue par Laetita Avia. Ce pseudo-permis prendra surtout la forme d’une attestation que recevront les élèves en fin de primaire ou collège. Elle attestera « qu’ils ont bénéficié d’une sensibilisation au bon usage des outils numériques et des réseaux sociaux ainsi qu’aux dérives et aux risques liés à ces outils. »

Une révolution de papier. Le Code de l’Éducation prévoit déjà que ces élèves reçoivent une « formation à l'utilisation responsable des outils et des ressources numériques » qui comporte « une éducation aux droits et aux devoirs liés à l'usage de l'internet et des réseaux, dont la protection de la vie privée et le respect de la propriété intellectuelle, de la liberté d'opinion et de la dignité de la personne humaine, ainsi qu'aux règles applicables aux traitements de données à caractère personnel ». 

Cette formation doit aussi contribuer « au développement de l'esprit critique, à la lutte contre la diffusion des contenus haineux en ligne et à l'apprentissage de la citoyenneté numérique ». Et comporte « également une sensibilisation sur l'interdiction du harcèlement commis dans l'espace numérique, la manière de s'en protéger et les sanctions encourues en la matière ».

Pas suffisant aux yeux de Laetitia Avia qui veut consacrer cette formation par une attestation axée notamment sur les risques.

Ajoutons que le projet de loi introduit aussi la possibilité de comparution immédiate pour certaines infractions au droit de la presse.

« Si l’on soumet ces prévenus à une comparution immédiate, la décision judiciaire pourra s’inscrire dans le temps rapide des réseaux sociaux. Si elle est prononcée suffisamment vite, la peine produira pleinement l’un de ses effets nécessaires, celui d’exemplarité, non pas seulement sur l’opinion publique, mais aussi sur la personne condamnée, qui songera : "J’ai commis une faute, j’ai été sanctionné ; je ne récidiverai pas." Une telle vertu pédagogique de la peine est importante », estime Laetitia Avia.

Même avis d'Éric Dupont Moretti : « ceux qui, le lundi, diffusent la haine en ligne, ce véritable poison de notre société, pourront être jugés le mardi, si le dossier le permet : voilà qui parle au justiciable, voilà qui fait véritablement exemple. Les gamins doivent savoir qu’il n’est plus possible de raconter impunément n’importe quoi sur les réseaux sociaux ».

Comme prévu, l'application va être mise à jour avec un nouveau traitement des QR Codes des lieux visités par ses utilisateurs. Plusieurs des recommandations de la CNIL n'ont pas été suivies d'effet, certaines modalités restent floues. Un patch iOS via des notifications push devrait par ailleurs tenter de réveiller les iPhone en veille.

Saisie en urgence par le ministre des Solidarités et de la Santé, la CNIL avait délibéré le 17 décembre dernier sur un projet de décret modifiant le traitement de données dénommé « StopCovid ».

Les évolutions visent principalement, « notamment dans la perspective d'un nouveau déconfinement et de la réouverture de certains établissements recevant du public (ERP : restaurants, salles de sport, salles de spectacles etc.) », à alerter les utilisateurs de l’application « TousAntiCovid ». Du moins, ceux ayant « fréquenté un lieu dans lequel s'est trouvée, au même moment, une personne diagnostiquée ou dépistée positive au Covid-19 ».

Son avis, ainsi que le décret, viennent d'être publiés au Journal officiel.

Conformément aux recommandations de Santé Publique France, précise la CNIL dans son avis, ces lieux sont en effet susceptibles de présenter un risque élevé d'exposition au virus, lorsque les personnes qui les fréquentent ne sont pas en mesure de s'assurer du respect des gestes barrières (salles de sport, restaurants, bars, etc.), ou un risque modéré lorsque ces mesures barrières doivent être mises en œuvre mais qu'une rupture de cette protection y est possible (transports publics, lieux culturels, lieux de culte, etc.).

Ce nouveau dispositif disponible dans l'application « TousAntiCovid » repose sur un protocole dénommé TAC- WARNING (TAC-W), distinct du protocole ROBERT et de la fonctionnalité de suivi des contacts, sans lien avec un quelconque identifiant d'utilisateur, minimisant ainsi le risque de rattacher l'ensemble des lieux fréquentés à l'utilisateur et de pouvoir ainsi reconstituer un historique de certains de ses déplacements.

• « Contact tracing » : on vous explique les différents protocoles et initiatives

En pratique, il repose sur la mise à disposition, par les responsables des ERP, de codes-QR que les personnes sont invitées à scanner, à l'entrée ou à l'intérieur de ces locaux, avec l'application « TousAntiCovid ». Ces codes-QR et la plage d'horaire concernée sont enregistrés dans l'application.

Lorsqu'un utilisateur se signale comme positif au virus, l'application adresse au serveur central TAC-W la liste des codes-QR scannés, qui représente donc la liste des ERP qu'il a fréquentés. Cette liste de lieux contacts est enregistrée sur le serveur.

Par ailleurs, l'application de chaque utilisateur interroge régulièrement ce serveur central en lui envoyant la liste des codes-QR scannés par celui-ci et, lorsque le serveur TAC-W identifie une concordance entre un des lieux remontés et un lieu contact déjà enregistré, il notifie l'utilisateur qu'il a pu être exposé dans un des lieux qu'il a fréquentés.

La nature de la notification reçue pourra varier en fonction du risque de contamination encouru, calculé par le serveur TAC-W sur la base de préconisations à venir des autorités sanitaires.

Ainsi, les personnes ayant fréquenté un lieu « pendant la même plage horaire » – non précisée – qu'une ou plusieurs personnes déclarées positives seront notifiées en tant que « contact à risque modéré ». Au-delà d'un certain seuil – lui aussi non précisé – permettant d'identifier la présence d'un cluster, les utilisateurs pourront être notifiés comme « contact à risque élevé », comme dans le protocole ROBERT. Le décret précise que dans les deux cas, les personnes exposées à ce risque seront désignées comme « contacts à risque de contamination ».

Le Comité de contrôle et de liaison Covid-19 (CCL Covid), dans son avis du 15 décembre 2020, précise de son côté que si une seule personne, qui a été dans le même lieu sur la même plage horaire, se déclare dans l’application, les utilisateurs qui auraient pu la croiser recevront une notification de contact warning, dit à « risque modéré » (impliquant la surveillance des symptômes, etc.). Si trois personnes se sont déclarées, et étaient sur la même plage horaire, alors elles recevront une notification classique de contact tracing à « risque élevé ».

La CNIL manque de visibilité sur certains choix

En outre, si l'interrogation du serveur central nécessite que l'application d'un utilisateur lui transmette la liste des lieux qu'il a fréquentés associés à un horodatage, cette interrogation ne fait pas intervenir, d'après les éléments fournis par le ministère à la CNIL, d'identifiant de l'application, de la personne ou de son terminal.

La Commission relève également que les modalités de stockage et de comparaison des lieux fréquentés font l'objet de mesures visant à limiter les risques d'identification de ces lieux par des tiers.

Enfin, relève la CNIL, la collecte et le traitement de données opérés pour cette fonctionnalité revêtent un caractère temporaire et ces données sont strictement séparées de celles traitées dans le cadre du protocole ROBERT (aucun identifiant commun et des serveurs centraux distincts pour les deux fonctions).

Le ministère a ainsi fait le choix d'une architecture dans laquelle l'application interroge le serveur en envoyant régulièrement l'historique des lieux fréquentés et enregistrés par l'application, et non celui d'une architecture dans laquelle les codes-QR des lieux contacts seraient diffusés par le serveur à tous les utilisateurs, permettant la comparaison, en local, des lieux contacts sur chaque application.

Néanmoins, au regard de l'ensemble des éléments, la Commission estime que le dispositif projeté est de nature à réduire les risques que fait peser le traitement de données sur les droits et libertés fondamentaux des personnes concernées et rend l'atteinte proportionnée à l'utilité estimée du dispositif dans le contexte de la crise sanitaire actuelle.

Elle relève en revanche que l'étendue de la collecte et du traitement de données dont les utilisateurs de l'application feront l'objet est conditionnée à certains choix qui n'ont pas pu être portés à sa connaissance, évoquant notamment :

• la liste précise des ERP concernés,
• le caractère obligatoire ou non, pour ces établissements, de mettre à disposition un code-QR,
• l'obligation faite aux personnes concernées d'enregistrer leurs visites afin que celles-ci puissent être alertées en cas de risque de contamination

Le CCL Covid assure de son côté que ces données « ne permettent pas davantage de fournir à l'utilisateur des informations à caractère personnel relatives aux autres personnes ayant fréquenté le même lieu et lors de la même plage horaire ». Pour autant, la CNIL n'est donc pas « pleinement en mesure d'apprécier la proportionnalité de la collecte envisagée ».

« La proportionnalité de la collecte envisagée devrait être affinée »

Dans un communiqué, la CNIL souligne dès lors que « l’appréciation concrète de la proportionnalité de la collecte envisagée devrait être affinée lorsque les conditions de réouverture des ERP seraient connues ». Elle n'en explique pas moins « avoir considéré que l’utilité, au stade actuel de la lutte contre l’épidémie, d’un dispositif complémentaire d’identification des contacts à risque de contamination était suffisamment démontrée ».

Elle a en outre relevé que l’architecture technique et fonctionnelle du dispositif apportait « plusieurs garanties substantielles de nature à en assurer la proportionnalité (en particulier, pas de géolocalisation) » :

• le dispositif ne recourt pas à une technologie de géolocalisation et n’implique pas le suivi des déplacements des utilisateurs de l’application ;
• aucun identifiant unique n’est lié aux lieux contacts remontés par les utilisateurs dépistés ou diagnostiqués positifs à la Covid-19 ou à ceux transmis lors de l’interrogation du serveur central ;
• les données de TAC-W sont séparées de celles traitées dans le cadre du protocole ROBERT.

Elle note toutefois que le serveur collecte les identifiants uniques et aléatoires contenus dans les codes QR remontés lorsqu'un utilisateur se déclare positif dans l'application. Bien que la table de correspondance entre cet identifiant aléatoire et le nom ou la localisation de l'établissement ne semble pas être connue par le serveur, cette information « existe par ailleurs et pourrait donc être reliée aux données stockées sur le serveur, ce qui serait susceptible d'affaiblir le niveau de sécurité global du traitement ».

À cet égard, la Commission relève que lors de la remontée des historiques de lieux fréquentés d'un utilisateur qui se déclare positif, le serveur applique une fonction de hachage à l'identifiant du lieu contact, en utilisant l'algorithme SHA256 et en l'associant à différentes valeurs d'un paramètre, de façon semblable à un sel, sans que cette mise en œuvre corresponde à l'état de l'art en la matière pour éviter les rapprochements.

Si la Commission comprend de cette pratique qu'elle vise à limiter les possibilités pour des tiers de réidentifier les lieux fréquentés par les utilisateurs, elle invite le ministère à « mettre en place, sans tarder, des mesures encore plus efficaces, telles que le recours à des codes-QR dynamiques, dont l'usage est d'ores et déjà prévu par le ministère et qui pourrait améliorer substantiellement la sécurité des données traitées ».

Vers un dispositif obligatoire « d’enregistrement des visites »

La CNIL prend acte, au surplus, de ce que les utilisateurs conserveront la possibilité de ne pas utiliser l’application « TousAntiCovid », « y compris dans l’hypothèse où l’enregistrement des visites constituerait une obligation pour les personnes concernées », sans plus de précision, dès lors que deux dispositifs, l’un numérique (codes QR), l’autre non numérique (par exemple un cahier de rappel), seraient mis à leur disposition par les responsables des établissements visés.

Par ailleurs, la CNIL recommande, « d’une part que, le cas échéant, le caractère obligatoire d’un dispositif d’enregistrement des visites soit limité aux seuls ERP présentant un risque élevé (port du masque impossible et autres mesures barrières difficiles à mettre en œuvre) et, d’autre part, qu’il ne soit pas rendu obligatoire dans les lieux dont la fréquentation est susceptible de révéler des données sensibles (lieux de cultes, lieux de réunion syndicale, etc.) ».

La CNIL rappelle également que la publication de la documentation technique et du code informatique des nouvelles fonctionnalités du dispositif ainsi que la prise en compte des commentaires de la communauté scientifique « permettront l'amélioration continue du dispositif et la correction d'éventuelles vulnérabilités, visant à garantir la sécurité des données ». Elle invite donc le ministère à « poursuivre et amplifier la démarche d'ouverture encadrant la mise en œuvre initiale de StopCovid ».

Priorisation des cas contacts pour les tests de dépistage ?

Contrairement à ce que recommandait la Commission, le décret précise par ailleurs que l'application a également pour vocation de « permettre aux personnes utilisatrices, sur présentation du statut “contact à risque de contamination” dans l'application, de bénéficier d'un examen ou test de dépistage dans des conditions de réalisation prioritaire, au même titre que les autres personnes à risque d'infection ».

La Commission avait en effet rappelé au ministère que « le fait de télécharger et d'utiliser l'application "TousAntiCovid" n'emporte pas, de facto, la possibilité de bénéficier d'un accès prioritaire à ces examens, seuls les utilisateurs notifiés comme contacts à risques étant concernés par ce caractère prioritaire ».

Elle estime dès lors que ce dispositif « ne saurait remettre en cause le caractère volontaire de l'utilisation de l'application », et qu'il serait « néanmoins nécessaire que l'information fournie, notamment dans l'application elle-même, soit sans ambiguïté sur le fait que la priorité est attachée à la qualité de "cas-contact" et non à l'utilisation de l'application par elle-même ».

Reste donc à voir ce que l'application proposera comme information à ce sujet. Ce 15 février, elle affichait plus de 13 millions d'« enregistrements nets » (à savoir de personnes ayant téléchargé et activé l'application) depuis le 2 juin 2020, et 140 150 personnes s'étant déclarées positives dans l'application (soit 1,07 % de ses utilisateurs). TousAntiCovid ne recense par ailleurs que 78 772 potentiels « cas contacts » notifiés par l'application (soit 0,6 % du total). Les utilisateurs ayant déclaré leur positivité dans l'application n'auraient donc, en moyenne, permis de notifier que 1,78 autres personnes qu'elles pourraient potentiellement être des « cas contact ».

Des remontées statistiques pour améliorer les performances

Le décret prévoit en outre la réalisation d'« analyses statistiques à partir des données anonymes issues de l'application afin d'adapter les mesures de gestion nécessaires pour faire face à l'épidémie et d'améliorer les performances de l'application ».

D'après les éléments transmis par le ministère à la CNIL, ces analyses statistiques ne constituent « ni des traitements à des fins de recherche, d'études et d'évaluation dans le domaine de la santé, ni des traitements visant à adapter les mesures de gestion nécessaires à la lutte contre l'épidémie ».

Le ministère a précisé au CCL qu’il s’agissait de mettre en place des paramètres dans l’application permettant d’évaluer la manière dont les personnes l’utilisent : données de navigation de l’utilisateur, temps d’activation moyen du Bluetooth dans la journée, temps d’ouverture moyen de l’application, nombre de contacts « scorés », nombre de contacts croisés.

Il s’agirait d’identifier ce qui fonctionne ou non dans l’application, afin de pouvoir évaluer certaines dimensions de son efficacité. Le but serait également de disposer de données statistiques pouvant être mis en regard des indicateurs employés par Santé Publique France (SPF), ceci afin de mieux guider l’utilisateur grâce à différentes recommandations et conduites à tenir.

« Concernant la dimension confidentielle », relevait d'ailleurs le CCL, « quand une personne choisit de se déclarer positive dans TAC, elle autorise la remontée de ses contacts sans jamais faire remonter son identifiant. C’est dans cette remontée que les données statistiques se retrouvent, sans lien donc avec des données nominatives ou pseudonymisées ».

« Il s’agit d’une analyse d’usage et ceci pourrait être indiqué plus précisément », soulignait le CCL, pour qui « les objectifs de ces analyses, le type de données traitées et les destinataires des analyses doivent être explicités ». La CNIL demandait elle aussi que le projet de décret « soit précisé sur ce point et sur les données effectivement traitées à cette fin ». Ces deux demandes de précisions concernant les données n'ont pas été suivies d'effet dans le décret.

Des « transferts de données vers les États-Unis »

La Commission relève en outre que l'analyse d'impact relative à la protection des données (AIPD) transmise par le ministère mentionne que les dispositifs fonctionnant sous le système d'exploitation iOS ont désormais recours à un système de « notifications push ».

Le ministère indique en effet que le bon fonctionnement de l'application sur ces appareils « nécessite, en raison des limitations techniques imposées par Apple, qu'elle soit réactivée périodiquement, faute de quoi les interrogations régulières du serveur central pour vérifier le statut d'exposition au virus de l'utilisateur ne pourraient intervenir ».

Techniquement, explique la CNIL, ce système se traduit par l'envoi d'une « notification » qui « implique l'envoi de données supplémentaires au serveur central ainsi qu'au serveur de notification d'Apple, et notamment un identifiant unique spécifique au terminal et à l'application ».

La Commission reconnaît l'intérêt de recourir à cette fonctionnalité, « par ailleurs commune à la plupart des applications développées sur iOS (notamment pour avertir l'utilisateur d'une mise à jour), dans le cadre de la crise sanitaire, dès lors qu'elle permet de "réveiller" l'application aux fins d'interroger le serveur central ».

Elle attirait néanmoins l'attention du ministère sur le fait que cette fonctionnalité « pourrait entraîner des transferts de données vers les États-Unis nécessaires au bon fonctionnement technique de l'application ». Elle invitait à ce titre le ministère à « se rapprocher de la société Apple pour avoir confirmation que cette fonctionnalité n'implique pas de transfert ou pour essayer, le cas échéant et dans la mesure du possible, de les éviter. En tout état de cause, l'information des utilisateurs de l'application devra être clarifiée en conséquence ».

Dès lors, elle suggérait au ministère de compléter le projet de décret afin de mentionner, au titre des données traitées, les données techniques nécessaires à ces « notifications push ». Là encore, elle n'a pas été entendue. La Commission regrettait au surplus que l'AIPD dédiée au dispositif relatif aux codes-QR mis à disposition dans certains lieux, en cours de réalisation, ne lui ai pas été transmise en appui de la saisine.

Elle demande donc que celle-ci lui soit transmise et rappelle « en tout état de cause que les risques résiduels devront être ramenés à un niveau acceptable. Elle réitère enfin son appel à la transparence sur ce point et recommande que cette AIPD soit rendue publique ».

Un traitement autorisé « jusqu'au 31 décembre 2021 »

Au-delà des modifications commentées par la CNIL, le décret autorise le traitement « jusqu'au 31 décembre 2021 », alors qu'il l'était jusqu'alors « pour une durée ne pouvant excéder six mois après la cessation de l'état d'urgence sanitaire ».

Initialement prorogé jusqu'en juillet 2020, il l'avait depuis une nouvelle fois été jusqu'en février, et a récemment été de nouveau prorogé jusqu'au 1er juin 2021. L'article 5 du décret disposait à ce titre que « le responsable de traitement rend public un rapport sur le fonctionnement de StopCovid dans les trente jours suivant le terme de la mise en œuvre de l'application, et au plus tard le 30 janvier 2021 ». Les mots « et au plus tard le 30 janvier 2021 » sont supprimés.

Le précédent décret disposait par ailleurs qu'« un arrêté du ministre chargé de la santé, pris après avis de l'Agence nationale de santé publique, définit les critères de distance et de durée du contact permettant de considérer que deux téléphones mobiles se trouvent, au regard du risque de contamination par le virus du Covid-19, à une proximité suffisante l'un de l'autre ».

Le nouveau remplace cet alinéa pour préciser que « les critères de contact entre deux téléphones permettant de considérer que leurs utilisateurs se trouvent dans une situation présentant un risque de contamination par le virus du Covid-19 sont définis par l'Agence nationale de santé publique et sont rendus publics. » La FAQ de TousAntiCovid n'a, elle, pas été mise à jour depuis le 21 octobre 2020.

L'avis de la CNIL se bornant au volet juridique de la mise à jour, restent, au demeurant, les questions et problèmes d'usage et de faisabilité : comment seront générés et distribués les QR Codes, seront-ils scannés par les utilisateurs de l'application, quel sens cela aurait-il d'être alerté parce que l'on se serait trouvé dans un même établissement « au même moment », mais pas dans la même salle (nonobstant le respect des mesures barrières), et donc quels seront les « seuils » permettant de définir la notion de visite d'un établissement « en même temps » ?...

Au Journal officiel ce week-end, Bercy a publié l’un des derniers coups de truelle de son chantier destiné à chaluter les réseaux sociaux et autres plateformes pour trouver des indices de fraudes. Un chantier validé par le Conseil constitutionnel, modulo un strict encadrement, rappelé par la CNIL dans sa délibération.

Derrière le hashtag #BigBrotherBercy, on trouve la possibilité pour les services fiscaux « d'une part, de collecter de façon indifférenciée d'importants volumes de données, relatives à un grand nombre de personnes, publiées sur de tels sites et, d'autre part, d'exploiter ces données, en les agrégeant et en opérant des recoupements et des corrélations entre elles ». Voilà en quelques mots comment les neuf Sages résumèrent cette disposition née de la loi de finances pour 2020.

Au fil d’une expérimentation sur trois ans, les fins limiers de Bercy se voient depuis autorisés à collecter les données ouvertes sur les réseaux sociaux, les plateformes de vente et plus globalement tous les sites de mises en relation. La finalité ? Après traitement automatisé, déceler des débuts de commencement de traces de fraudes en matière de commerce illicite (drogue, tabac) ou encore de domiciliation à l’étranger.

Ce 13 février 2020, au Journal officiel, a été publié le décret « portant modalités de mise en œuvre par la direction générale des finances publiques et la direction générale des douanes et droits indirects de traitements informatisés et automatisés permettant la collecte et l'exploitation de données rendues publiques sur les sites internet des opérateurs de plateforme en ligne ».

Il vient rythmer en deux séquences l’expérimentation programmée voilà de longs mois par le législateur : une phase d’apprentissage suivie par une phase d’exploitation. Il s’agira en pratique de développer d’abord des outils puis déceler ensuite les indélicatesses à la législation fiscale.

Le cas échéant, ces données seront transmises à des agents de la Direction générale des finances publiques ou celle des douanes pour qu’un contrôle plus individualisé soit orchestré. « Les données ouvertes qui seront utilisées ne serviront que d’indices qui, croisés avec d’autres données, peuvent conduire l’administration à ouvrir un contrôle », nous avait précisé Bercy en 2018.

« En aucun cas des redressements n’interviendront sur la seule base de telles données, insiste la direction, et il n’y aura aucune inversion de la charge de la preuve : il incombera toujours à l’administration de démontrer la fraude, sur la base d’éléments objectifs. Il ne s’agit donc absolument pas d’une surveillance généralisée de tous les Français ».

La phase d'apprentissage et de conception

Cette première phase avait été annoncée en novembre 2019 dans un amendement de la majorité LREM. Selon les explications des élus, « un algorithme auto-apprenant sera développé afin de déterminer des indicateurs permettant de cibler les infractions visées par le dispositif, sur la base d’une base de données anonymisées ».

Au Journal officiel, samedi, plus d'un an après le vote du projet de loi de finances, le décret confirme cette logique. Durant cette phase initiale, des outils « de collecte et d'analyse des données » seront développés afin « d'identifier des indicateurs (…) tels que des mots-clés, des ratios ou encore des indications de dates et de lieux ». Ces mêmes indicateurs permettront ensuite de caractériser les manquements et infractions recherchés.

Pour cet essai grandeur nature, Bercy va travailler d’abord sur des listes d’entreprises ou de personnes physiques préalablement identifiées par son traitement de data mining « ciblage de la fraude et valorisation des requêtes » (ou CFVR). Soit une centaine d'entreprises pour la recherche d'activités occultes, et une dizaine de personnes physiques s’agissant des fausses domiciliations à l'étranger.

• Contre la fraude fiscale, toute la population française sous l’œil du « datamining » CFVR
• Le datamining, cache-misère contre la fraude fiscale

Prenons l’exemple d’une fraude à la domiciliation fiscale où un contribuable affirme vivre six mois et un jour à l’étranger, en espérant échapper à l’impôt français alors que ses activités en ligne démontrent une autre réalité. Les services vont développer d’abord « un outil permettant d'associer une personne physique à ses comptes détenus sur les plateformes en ligne », dont les réseaux sociaux.

Ensuite, à partir d’un échantillon, seront aspirés tous « les contenus des pages permettant d'identifier des lieux géographiques qui peuvent notamment être des écrits, des images, des photographies, des sons, des signaux ou des vidéos ».

Enfin, ce stock d’informations sera croisé « avec des bases de données de lieux géographiques et des moteurs de recherche spécialisés dans l'identification des lieux correspondant à des images, afin d'identifier des indicateurs de lieux géographiques ». Reconnaissance de bâtiments, d’adresses, exploitation des coordonnées géolocalisées associées aux métadonnées d’une photo, tout peut être envisagé…

S’agissant de la vente de tabac ou de drogues illicites, même logique : la DGFIP compte identifier les « titulaires des pages internet analysées », tout en exploitant « les photographies des produits vendus, les données d'expédition de la marchandise et les données permettant de mesurer l'audience de la page, l'ancienneté et l'activité du profil et de l'annonce ».

Durant cette première période, toutes les données personnelles collectées seront effacées puisque l’objectif est « seulement » de disposer d’outils de collecte après cette mise à l’épreuve dans l’océan Internet.

La phase d'exploitation des données

Comme l’exploitant agricole après avoir vérifié ses engins et aiguisé ses fourches, le ministère sera ensuite prêt pour la moisson, armé de ses « indicateurs ». Les données chalutées seront ensuite transférées dans le data mining du CFVR pour « vérifier si la personne ne s'est pas fait connaître de l'administration ».

Au fil de l’eau et des manquements recherchés, les services seront amenés à brasser états civils, identifiants de profil, pseudonymes, adresses, numéros de téléphone, adresses électroniques, photographies, données d'expédition de marchandises, activités d’un profil et d’une annonce, etc.

L’appétit de Bercy, le rappel de la CNIL

Saisie pour avis, la CNIL considère dans sa délibération que ces deux phases obéissent à deux régimes juridiques différents. La phase d'apprentissage relève du RGPD, celle de l’exploitation des données, de la directive Police-Justice.

Mais au-delà, on découvre surtout les appétits des services fiscaux qui ont tenté de raboter au maximum les garanties imposées par le législateur et la décision du Conseil constitutionnel, à savoir que la collecte et l’exploitation ne visent que les contenus :

• librement accessibles sur les sites des opérateurs de plateforme
• manifestement rendus publics par leurs utilisateurs

Lorsqu’ils validèrent cette disposition, dans sa quasi-totalité, les neuf Sages prirent en compte le fait que « ne peuvent être collectés et exploités que les contenus se rapportant à la personne qui les a, délibérément, divulgués ».

API et webscraping

Dans le décret, le ministère s’est d’abord réservé la possibilité de créer des comptes via les interfaces de programmation mises à disposition par les opérateurs de plateforme.

Selon la CNIL, il « entend utiliser des API (interfaces de mise à disposition des données des sites) proposées par les plateformes ou les réseaux sociaux, et/ou des techniques de "webscraping" (techniques d'extraction du contenu de sites, via des scripts ou des programmes automatisés) pour collecter les données des plateformes et des réseaux sociaux. »

Cette technique permettra à la DGFIP de passer entre les lames des solutions de sécurité mises en place par les plateformes pour prévenir les usages massifs.

Toutefois, lors d’un échange avec Bercy, la CNIL a découvert une doctrine fiscale pour le moins éloignée de celle espérée par le législateur. Les données « librement accessibles » visées par Big Brother Bercy seraient aux yeux de la DGFIP toutes celles « publiées sur les plateformes et les réseaux sociaux sans paramètre de confidentialité spécifique ou avec un paramétrage de confidentialité public ». Et donc, toutes celles « qui ne sont pas publiées en mode privé ou en accès restreint à un cercle de contacts, quelles que soient les modalités techniques utilisées pour les collecter ».

De même, dans son projet de décret soumis à l’avis de l’autorité, le ministère a estimé que les commentaires pouvaient parfaitement être alpagués.

Interrogé par la CNIL, il « fait valoir le caractère public - par nature - des commentaires publiés sur les sites marchands au regard de leur modèle économique ainsi que la connaissance, par les utilisateurs de ces sites marchands, des paramètres de confidentialité retenus ». Et pour les réseaux sociaux, même logique : « les utilisateurs ont également la possibilité de configurer les paramètres de confidentialité de leurs pages, en l'absence de paramétrage spécifique, de suppression des contenus concernée ou de signalement effectué auprès de la plateforme concernée, l'utilisateur les divulgue délibérément ».

Un peu court…La Commission a une interprétation beaucoup plus stricte et fidèle au texte initial : un contenu librement accessible doit être... librement accessible.

Des contenus vraiment publics, divulgués par la personne concernée

De cette tautologie, elle en déduit que l’expression vise « les contenus auxquels un utilisateur non inscrit ou sans enrôlement préalable (création de compte, fourniture de certaines informations pour créer un identifiant ou toute autre forme d'inscription) sur une plateforme ou un réseau social pourrait avoir accès, sans saisie préalable d'un mot de passe ».

De même, « pour être manifestement rendus publics les contenus doivent être délibérément divulgués par la personne titulaire du compte ou de la page ce qui implique incontestablement une action volontaire de sa part ». À contrario, « la simple absence de mise en place d'un paramétrage de confidentialité spécifique par exemple ne suffit pas à caractériser qu'une personne a délibérément divulgué un contenu ».

La Commission a donc demandé une modification du décret final, qui prévient désormais au Journal officiel que « seuls les contenus se rapportant à la personne qui les a délibérément divulgués et dont l'accès ne nécessite ni saisie d'un mot de passe ni inscription sur le site en cause peuvent être collectés et exploités ».

De même, le texte indique que « lorsque la personne est titulaire sur internet d'une page personnelle permettant le dépôt de commentaires ou toute autre forme d'interactions avec des tiers, ces commentaires et interactions ne peuvent faire l'objet d'aucune exploitation ».

Cachez ce hashtag 

Relevons au final que Bercy entendait aspirer également des données relatives aux « contenus de toute nature, y compris diffusés en temps réel ».

Dans les échanges avec la CNIL, il a précisé que cette expression recouvrait principalement les « hastags » outre, selon la Commission, « l'ensemble des publications quel que soit leur format informatique (par exemple des codes chiffrés, des algorithmes, …) dès lors qu'ils sont librement accessibles et manifestement rendus publics par l'utilisateur de la plateforme ». L’expression ne se retrouve plus dans le texte finalement publié.

Le film d'Oliver Stone consacré à Edward Snowden et à la « surveillance de masse » était sous-titré « Nous sommes tous sur écoute ». Le texte expliquant ce que les employés de la NSA ont le droit faire, ou pas, évoque certes une « collecte en vrac », mais « très éloignée d'une approche totalement illimitée ».

Ancien sous-procureur général adjoint au ministère de la Justice américain, David Kris avait supervisé les questions de sécurité nationale à la Justice de 2000 à 2003, avant de contester (.pdf), en 2006, la légalité d'un programme d'espionnage de la NSA, sans mandat. Une critique que le Washington Post avait alors qualifiée de « dissidence publique inhabituelle de la part d'un ancien fonctionnaire de l'administration ».

Le 15 janvier, il a publié un nouveau mémo de 78 pages de décryptage d'une « Annexe SIGINT » (pour SIGnal INTelligence) de 44 pages (dont 35 de directives, et un glossaire de 7 pages), en grande partie déclassifiée, le 7 janvier dernier, et mise en ligne par la NSA le 13.

Après un premier compte-rendu de son volet historique, nous détaillons le contenu de ce nouveau document, destiné à mettre à jour une précédente directive qui ne l'avait pas été depuis mai 1988, alors même que la téléphonie mobile et Internet ont depuis révolutionné le SIGINT.

• Ce que peuvent faire les agents de la NSA (ou pas) 1/2

Avant d'entrer dans les détails, David Kris explique que la nouvelle annexe SIGINT semble refléter au moins trois changements significatifs par rapport au texte précédent.

Premièrement, la nouvelle est généralement plus prescriptive, et rend certaines exigences et autorisations « explicites » alors qu'elles étaient auparavant « implicites ». Elle précise notamment comment certaines dispositions interagissent pour permettre ou restreindre certaines possibilités opérationnelles qui se présentent régulièrement.

L'accent mis sur l'interrogation [querying, ndt] des données peut également refléter les progrès technologiques réalisés depuis la dernière mise à jour importante de l'annexe précédente en 1988. Alors qu'autrefois, l'interrogation consistait bien plus à faire en sorte qu'un être humain cherche l'information souhaitée dans un ensemble de données stockées sur du papier, des bandes magnétiques, microfilms et d'autres ensembles de données analogiques, aujourd'hui, il s'agit plutôt d'interrogations automatisées et d'autres exploitations de données numériques. 

L'annexe comporte en outre une série de FAQ intégrées dans le corps du document, et simplifie la recherche dans les règles applicables. Cet effort se manifeste d'ailleurs dans la longueur du document : alors que l'Annexe précédente comprenait une douzaine de pages de fond, la nouvelle Annexe SIGINT en compte environ 35, soit presque trois fois plus, sur 44 pages.

Des contrôles « beaucoup plus développés qu'à l'époque »

Un deuxième changement important par rapport à l'annexe précédente est lié au premier changement : la nouvelle annexe SIGINT tient compte des extensions statutairement requises de l'infrastructure de conformité et de libertés civiles de la NSA. Depuis 2010, l'agence dispose en effet d'un directeur de la conformité, chargé de la conseiller au sujet des questions de protection de la vie privée et des libertés civiles.

De plus, la NSA dispose aujourd'hui de procédures et d'un ensemble de personnels chargés de superviser la r��glementation du SIGINT « beaucoup plus développé qu'à l'époque où l'annexe précédente était en vigueur pour traiter de ces questions ».

« La NSA est une entité hautement réglementée », souligne Kris, et l'annexe SIGINT « est subordonnée, et dérivée, de l'Executive Order 12333 », qui dispose que « [les] éléments de la communauté du renseignement ne sont autorisés à collecter, conserver ou diffuser des informations concernant des ressortissants américains que conformément aux procédures » établies par le chef de l'agence compétente avec l'approbation du procureur général (AG) après consultation du directeur du renseignement national (DNI).

Plus précisément, elle « régit la collecte SIGINT par l'USSS sous E.O. 12333 » à trois fins : « pour satisfaire aux exigences étrangères de renseignement ou de contre-espionnage, pour apporter un soutien aux opérations militaires » ou, dans certaines circonstances, « pour protéger la sécurité ou permettre la récupération d'une personne américaine captive ». Pour autant, l'annexe ne s'applique pas aux activités SIGINT « menées conformément à la FISA », à l'exception des « activités de collecte qui ciblent des personnes américaines en dehors des États-Unis ».

Troisièmement, l'annexe SIGINT semble être plus neutre sur le plan technologique que la précédente, qui comportait par exemple des règles spéciales pour les communications vocales et par fax, qui ne sont plus présentes dans la nouvelle. Alors que la précédente distinguait souvent les règles en fonction du type de signal collecté – par exemple, en traitant les radiofréquences (RF) différemment des communications filaires –, la nouvelle semble mettre l'accent sur les phases du cycle de vie du SIGINT, telles que la collecte, le traitement et l'interrogation.

Ce changement s'expliquerait en partie, explique David Kris, « parce que l'environnement SIGINT lui-même a évolué de telle sorte qu'il serait moins utile pour les opérateurs de trop se concentrer sur le type de signal, les réseaux et systèmes de communication plus complexes, divers et hybrides devenant de plus en plus la norme ».

Il recoupe également et dans une certaine mesure le premier changement, précise l'auteur : « l'annexe SIGINT fournit des orientations conçues pour les opérateurs et adaptées en tenant compte du fait que la protection de la vie privée et les risques connexes peuvent être différents à chaque phase du cycle de vie du SIGINT ».

Des collectes ciblées « chaque fois que possible »

L'annexe rappelle premièrement que l'U.S. Signals Intelligence System (USSS) ne peut « cibler intentionnellement des personnes américaines ou des personnes aux États-Unis à moins qu'une autorisation n'ait été obtenue conformément à la présente section ou à la FISA ».

Deuxièmement, en ce qui concerne les personnes américaines ou les personnes aux États-Unis, l'USSS doit « limiter la collecte SIGINT » à « ne pas collecter plus d'informations que ce qui est raisonnablement nécessaire », et si possible utiliser les moyens les moins intrusifs.

Troisièmement, l'USSS doit effectuer une collecte ciblée (par opposition à une collecte en vrac) « chaque fois que possible », en utilisant des termes de sélection ou d'autres éléments discriminants afin d'« identifier une cible, un sujet ou une caractéristique de la communication ou une combinaison de ces éléments, conformément à l'objectif de la collecte ou de la requête ».

Pour autant, il n'y a pas d'exigence dans l'annexe, comme le prévoit le FISA, de terme de sélection « identifiant spécifiquement une personne, un compte, une adresse ou un appareil personnel ». Un terme de sélection n'est donc pas le même qu'un « sélecteur » fort, un mot utilisé dans d'autres contextes pour désigner une installation comme une adresse e-mail ou un numéro de téléphone spécifique.

Kris explique que l'annexe autoriserait par exemple « l'utilisation d'une combinaison de termes de sélection comme celui-ci: tout message qui (1) contient le mot "pourquoi" utilisé dans les trois mots de l'expression "es-tu"; (2) est écrit à plus de 85% en pentamètre iambique [un type de vers utilisé notamment dans les poésies grecques, anglaises et allemandes, ndt]; et (3) est transmis entre 9h00 et 17h00 GMT ».

De plus, lorsque les termes de sélection « sont raisonnablement susceptibles d'entraîner ou ont abouti [lorsqu'ils ont déjà été utilisés dans le passé] à la collecte de communications à destination, en provenance ou à propos de citoyens américains (où qu'elles se trouvent) », l'annexe impose des exigences supplémentaires. À commencer par le fait de prendre des mesures pour s'assurer que les communications « non pertinentes » soient exclues.

La « collecte en vrac » est limitée à six catégories bien définies

En outre, la collecte SIGINT en vrac (« bulk SIGINT collection », souvent – incorrectement – traduite comme « surveillance de masse ») est quant à elle limitée à six catégories bien définies par la Presidential Policy Directive (PPD-28) approuvée par l'administration Obama en 2014 :

• l'espionnage et autres menaces et activités dirigées par des puissances étrangères ou leurs services de renseignement contre les États-Unis et leurs intérêts;
• les menaces contre les États-Unis et leurs intérêts par le terrorisme;
• les menaces pesant sur les États-Unis et leurs intérêts du fait de la mise au point, de la possession, de la prolifération ou de l'utilisation d'armes de destruction massive;
• les menaces de cybersécurité;
• les menaces contre les forces armées américaines ou alliées ou tout autre personnel américain ou allié; et
• les menaces criminelles transnationales, y compris le financement illicite et la fraude aux sanctions liées aux autres fins mentionnées dans la présente section.

La directive qui l'encadre rappelle en outre qu'« en aucun cas, les renseignements électromagnétiques recueillis en vrac ne peuvent être utilisés dans le but de supprimer ou d'alourdir la critique ou la dissidence; désavantager les personnes en raison de leur appartenance ethnique, de leur race, de leur sexe, de leur orientation sexuelle ou de leur religion; offrir un avantage concurrentiel aux entreprises américaines et aux secteurs commerciaux américains sur le plan commercial; ou atteindre un objectif autre que ceux identifiés dans cette section ».

Quatrièmement, l'USSS doit prendre des « mesures raisonnables » pour déterminer la nationalité et l'emplacement des cibles (pour l'application des règles appropriées, qui dépendent souvent de la nationalité et de l'emplacement).

Cinquièmement, l'USSS doit essayer de réduire la quantité de collecte accidentelle de communications nationales ou de communications concernant des citoyens américains.

La NSA peut examiner un spectre, mais pas n'importe comment

Kris recense au surplus quatre autres limitations pour ce qui est de l'examen de « l'environnement des signaux » afin d'identifier les « signaux ou communications » pertinents. La NSA compare cela au fait de tourner le cadran d'un autoradio pour trouver les stations locales qui diffusent un type particulier de musique ou d'autres programmes.

Un tel examen ne peut être mené que pour identifier les communications ou autres signaux qui satisfont à au moins l'une des quatre exigences suivantes :

1. « Peuvent contenir des informations relatives à la production de renseignement ou de contre-espionnage », comme les messages entre une unité militaire déployée à l'avant ou un actif de renseignement et son quartier général.
2. « Sont chiffrés ou semblent contenir une signification secrète et sont nécessaires pour développer des capacités techniques ». Par exemple, l'analyse cryptographique d'un chiffrement militaire particulier utilisé par un adversaire peut bénéficier d'un large échantillon de données chiffrées.
3. « Sont nécessaires pour assurer une collecte SIGINT efficace ou pour éviter la collecte de signaux indésirables », ce qui s'explique du fait des nombreux canaux de communication existants comparés aux ressources SIGINT limitées. Ils permettent à la NSA et à d'autres éléments de l'USSS d'étudier l'environnement plus large dans le but de diriger la collecte contre les canaux les plus précieux, et peuvent également permettre l'identification des canaux contenant un grand nombre ou un pourcentage de communications qui ne sont pas appropriés pour la collecte, éclairant les décisions pour éviter de diriger SIGINT contre ces canaux.
4. « Révéler les vulnérabilités de sécurité des communications aux États-Unis ». Par exemple, la NSA peut examiner un canal avec un terminal dans une installation de renseignement américaine pour vérifier si de grandes quantités de données sensibles sont exfiltrées.

Dès lors, le but et la fonction d'un tel examen n'est pas de collecter des renseignements étrangers en premier lieu (bien que cela puisse aboutir à une telle collecte), mais de vérifier des informations sur l'environnement SIGINT afin de faciliter, guider et documenter la future collecte SIGINT.

En conséquence, une enquête n'est pas et « ne doit pas être utilisée comme » un « substitut à une collecte continue », et doit être « raisonnable et suffisamment limitée en termes de portée, de résultats et de durée ».

Les enquêtes peuvent utiliser des termes de sélection pour aider à déterminer si un canal étudié (par exemple, une radiofréquence) contient des informations pertinentes, mais des enquêtes sur les canaux de communication avec un terminal (c'est-à-dire un point d'accès ou un point final) aux États-Unis ne peuvent être menées que pour « déterminer si la chaîne contient des "renseignements", doit être d'une durée aussi limitée que possible conformément à cet objectif et, si l'enquête n'implique pas de conditions de sélection, ne doit pas dépasser deux heures sans approbation spéciale ».

De la « minimisation » des données

Kris relève au surplus que « la section 2.5 de l'annexe SIGINT, qui traite des "limitations" à la collecte de SIGINT est la disposition la plus longue et la plus complexe de l'annexe, s'étendant sur plus de cinq pages ».

Lorsque les termes sélectionnés « sont raisonnablement susceptibles d'entraîner ou ont abouti à la collecte de » communications concernant des citoyens américains – même si elles ne sont pas conçues pour le faire – l'USSS doit entreprendre certains efforts de « minimisation » visant à réduire ou à annuler de telles communications (ainsi que les données liées à ces communications) qui ne sont pas pertinentes pour un objectif de collecte autorisé.

Kris note cela dit que la section 3.5 de l'annexe SIGINT prévoit que les limitations sur les requêtes évoquées ci-dessus ne s'appliquent pas à « l'analyse des métadonnées des communications, y compris le "contact chaining" », à savoir l'identification des contacts de la cible, voire des contacts de ses contacts.

Dans de tels cas, l'analyse des métadonnées et le « contact chaining » peuvent se dérouler « sans égard à l'emplacement physique ou à la nationalité de l'un des communicants ou à l'emplacement ou à l'enregistrement de tout appareil ».

Acheter des données plutôt que les intercepter !

Le New York Times vient de révéler que la Defense Intelligence Agency (DIA) avait reconnu avoir acheté des données de géolocalisation « en vrac » provenant de smartphones et obtenues auprès de brokers, mais également que ces derniers ne séparaient pas les données des étrangers de celles concernant les Américains.

Le NYT révèle également si la DIA filtrait les données de sorte de les minimiser, « l'autorisation d'interroger les données de localisation aux États-Unis a été accordée cinq fois au cours des deux dernières années et demie à des fins autorisées », et visant des citoyens américains.

Kris relève à ce titre que l'annexe « ne semble pas règlementer la collecte de données via l'achat d'informations auprès d'un courtier de données », au motif qu'il s'agit d'informations « accessibles au public par abonnement ou par achat » et « fournies volontairement » au gouvernement par une entreprise privée, et non interceptées secrètement par un service de renseignement. Dès lors, leur acquisition ne nécessiterait pas d'approbation spéciale.

Le département de la défense semblerait même « encourager la collecte sur le marché libre à la collecte utilisant le SIGINT, considérant que la première est moins intrusive que la seconde », note David Kris.

Un encouragement qu'il qualifie d'« important car l'un des principaux développements technologiques de l'ère post-11 septembre a été l'amélioration relative du secteur privé, par rapport au gouvernement, dans sa capacité à générer, accéder, collecter, traiter, analyser et exploiter les données, y compris les données de localisation et autres données sur les utilisateurs finaux d'appareils ou de services » :

« De vastes quantités de données, y compris des données de localisation, sont collectées et disponibles à la vente par diverses entités privées. Toute réglementation future possible dans ce domaine devrait vraisemblablement trouver un équilibre entre les préoccupations concernant l'accès du gouvernement américain à ces informations et les préoccupations concurrentes selon lesquelles, si l'accès du gouvernement américain est limité par la loi, l'accès continu resterait disponible pour les gouvernements étrangers adverses, les entités commerciales et non organisations gouvernementales.

En examinant la question dans l'autre sens, j'ai écrit sur les préoccupations de contre-espionnage liées à la disponibilité de ces données - y compris, "à mesure que la gamme des médias sociaux et d'autres informations accessibles au public s'élargit", des difficultés possibles "à établir des personnalités numériques pour l'infiltration agents et officiers" – et le Congrès semble également avoir récemment exprimé des préoccupations similaires. »

Des données conservées 5, 20, 25 ans voire indéfiniment, ou détruites rapidement

En dehors du champ d'application de la FISA, en vertu de la section 4.2 de l'annexe, l'USSS « peut généralement conserver un SIGINT non évalué jusqu'à 5 ans à compter du moment où il est collecté ».

Si l'information est chiffrée ou raisonnablement considérée comme ayant une signification secrète, elle peut être conservée « pendant une durée suffisante pour permettre l'exploitation », et que la durée de rétention de 5 ans ne commence qu'à partir du moment où elles « sont traitées sous une forme intelligible ».

Le FISA prévoit de même que « lorsque les communications sont codées ou ne sont pas traitées d'une autre manière, de sorte que le contenu de la communication est inconnu, il n'est pas nécessaire de minimiser ... jusqu'à ce que leur contenu soit connu ».

La section 4.3 de l'annexe autorise le directeur de la NSA (avec une certification des commissions du renseignement du Congrès) à approuver « la conservation des SIGINT non évalués pendant une période allant jusqu'à 20 ans au-delà de la période de conservation par défaut ».

Les informations collectées en ciblant des personnes non américaines en dehors des États-Unis, y compris des données concernant des Américains (USPI) mais collectées accidentellement, peuvent de leur côté être conservées pendant 25 ans.

La section 4.4 de l'annexe SIGINT permet cela dit la conservation « potentiellement indéfinie » de plusieurs catégories de SIGINT.

La première concerne des informations qui ne représentent pas une menace réelle pour les intérêts de la vie privée des citoyens américains. Il s'agit de « communications étrangères [c'est-à-dire des communications avec au moins une extrémité en dehors des États-Unis] qui sont déterminées comme constituant, en tout ou en partie, du renseignement ou du contre-espionnage étranger, ou des informations nécessaires pour comprendre ou évaluer le renseignement ou le contre-espionnage étranger, et dont toutes les parties sont raisonnablement considérées comme étant des personnes non américaines et dont toute USPI a été supprimé. » La rétention peut dès lors être permanente.

La section 4.6.b. prévoit en outre que l'USSS « détruira généralement rapidement après reconnaissance » toute communication recueillie à la suite d'un « ciblage par inadvertance d'un ressortissant américain non consentant », lorsque la collecte est à la fois inattendue et indésirable, mais se produit par accident, involontairement.

« Quelque chose de très éloigné d'une approche totalement illimitée »

En conclusion, David Kris relève que « l'Annexe SIGINT est flexible à bien des égards, mais elle fournit également des limites importantes à l'activité SIGINT qui n'est pas directement réglementée par la loi ».

De plus, si elle « protège principalement les personnes et les personnes américaines aux États-Unis », l'annexe SIGINT « fournit également des protections importantes qui s'étendent à toutes les personnes, y compris les personnes non américaines situées en dehors des États-Unis, au-delà de celles énoncées dans le PPD-28 ».

Kris résume les limites et les protections applicables concernant les Américains :

• Limites sur « le ciblage intentionnel de personnes ou de personnes américaines aux États-Unis »;
• Limites de la collecte intentionnelle de communications nationales;
• Obligation d'utiliser les « moyens les moins intrusifs » pour la collecte d'USPI effectuée aux États-Unis ou dirigée contre une personne américaine à l'étranger, de ne pas collecter plus d'USPI qu'il n'est « raisonnablement nécessaire », et d'envisager des méthodes pour limiter la collecte d'USPI non pertinentes;
• Obligations de « faire tous les efforts raisonnables » pour « réduire, dans toute la mesure du possible », la collecte accidentelle de communications nationales et de communications concernant des ressortissants américains, et de prendre en compte « certains facteurs pour limiter la collecte de l'USPI [non pertinent] »;
• Interdictions de « ciblage inversé », où la personne ou l'entité auprès de laquelle ou au sujet de laquelle le gouvernement cherche des informations n'est pas la cible identifiée (nominale) de la collecte;
• Obligation d'utiliser des termes de sélection pour la collecte chaque fois que possible et, lorsqu'il existe un risque de collecte accidentelle de communications non pertinentes concernant des personnes américaines, de prendre des mesures pour annuler cette collecte, y compris la collecte des communications elles-mêmes et des données connexes;
• Obligation, lors de collecte SIGINT sur les chaînes de radio étrangères avec un terminal aux États-Unis, de cibler les personnes non américaines à l'étranger (et utiliser des termes de sélection sauf si la chaîne est utilisée exclusivement par des puissances étrangères);
• Obligation de ne recourir à des requêtes destinées à récupérer des communications concernant des personnes américaines et des personnes aux États-Unis que dans certaines circonstances (« quoique l'éventail de circonstances soit assez large », remarque Kris);
• Obligation de destruction des communications nationales, des communications obtenues par ciblage inadvertant de personnes américaines non consentantes, et des communications de certaines personnes non américaines non consentantes ciblées par inadvertance aux États-Unis;
• Obligation de minimisation des USPI lors de la dissémination du SIGINT.

Concernant les non Américains, « les protections incluent » :

• Interdictions d'utiliser des partenaires étrangers pour accomplir indirectement quelque chose que l'USSS ne peut pas accomplir directement, en vertu de l'Executive Order 12333. « Il s'agit d'une limite importante car de nombreux gouvernements étrangers ne réglementent pas l'activité SIGINT de manière aussi rigoureuse ou de manière transparente comme le font les États-Unis », précise Kris.
• Limites quant aux finalités pour lesquelles la collecte SIGINT et l'interrogation de requêtes peuvent être effectuées, et obligations de « mener une collecte ciblée en utilisant une sélection de termes chaque fois que cela est possible ».
• Exigences concernant les moyens de limiter la collecte aux informations pertinentes et les moyens de filtrer « les informations non pertinentes dès que possible après la collecte ».
• Obligations de se conformer aux directives émises par le procureur général destinées à protéger les communications avocat-client.
• Limites de conservation des SIGINT non évalués. Le but de cette limite est principalement de protéger les personnes américaines et les personnes aux États-Unis, mais les limites ont pour effet de restreindre la conservation en général en raison du mélange indifférencié d'informations USPI ou non dans un SIGINT non évalué.
• Obligations générales de détruire les communications nationales de certaines personnes non américaines non consentantes ciblées par inadvertance aux États-Unis.
• Exigences relatives aux politiques internes, aux programmes de conformité, à la formation, à l'audit et aux contrôles internes, à la documentation et aux rapports aux superviseurs externes qui aident à garantir la conformité réelle avec les lois et politiques énoncées –« un autre facteur qui peut différencier les États-Unis de certains autres Gouvernements », précise Kris.

« Les esprits raisonnables peuvent certainement différer sur le point de savoir si l'Annexe SIGINT fournit des protections suffisantes pour les personnes américaines, les personnes aux États-Unis et les personnes non américaines à l'étranger », conclut Kris. « Mais ces 35 pages de détails prescrivent quelque chose de très éloigné d'une approche totalement illimitée » [« something very far removed from a wholly unrestricted approach », ndt] :

« En fournissant ces protections et limites, ainsi qu'en autorisant l'activité SIGINT, l'annexe SIGINT apporte plus de clarté et de prescription que son prédécesseur. Cela reflète en partie le nouvel environnement dans lequel il fonctionne et la tendance à une réglementation et à une transparence accrues en matière de SIGINT. »

La CJUE fustige la « collecte "en vrac" [...] d’un volume relativement important d’informations »

La publication de l'annexe SIGINT devrait donc intéresser juristes et autres afficionados de renseignement technique ou de protection de la vie privée, au vu de l'arrêt dit « Schrems 2 ».

Pour rappel, la Cour de justice de l’Union européenne (CJUE) avait alors invalidé le « bouclier de vie privée » (ou Privacy Shield), en juillet 2020, au motif que l’article 702 du Foreign Intelligence Surveillance Act (FISA) et de l’executive ordrer 12333 « ne correspondent [pas] aux exigences minimales attachées, en droit de l’Union, au principe de proportionnalité, si bien qu’il n’est pas permis de considérer que les programmes de surveillance fondés sur ces dispositions sont limités au strict nécessaire ».

Outre-Atlantique, les textes prévoient bien l’intervention du tribunal de la surveillance du renseignement extérieur (ou FISC, pour Foreign Intelligence Surveillance Court), toutefois elle se limite à « vérifier si ces programmes de surveillance correspondent à l’objectif d’obtenir des informations en matière de renseignement extérieur », pas à savoir « si les personnes sont correctement ciblées pour se procurer des informations en matière de renseignement extérieur ».

Ces dispositifs concoctés par le procureur général et le directeur du renseignement national ne ciblent en effet pas une personne déterminée, mais orchestrent bien un programme de surveillance extérieure.

Pas de limitations ciselées, pas de garanties pour les personnes non américaines potentiellement visées, ni même de droits opposables devant les tribunaux. Le Privacy Shield, si chèrement défendu par la Commission européenne, n’est donc « pas susceptible d’assurer un niveau de protection substantiellement équivalent à celui résultant de la Charte », contrairement à ce qu’exige le RGPD.

Les documents annexés au Privacy Schield indiquent en effet que la directive stratégique présidentielle n°28 (Presidential Policy directive 28, ou PPD-28), sur laquelle se fondent les programmes de surveillance, permet de procéder à une « collecte “en vrac” [...] d’un volume relativement important d’informations ou de données issues du renseignement d’origine électromagnétique dans des conditions où les services de renseignement ne peuvent pas utiliser d’identifiant associé à une cible spécifique [...] pour orienter la collecte ».

Pour la Cour, « cette possibilité, qui permet, dans le cadre des programmes de surveillance fondés sur l’E.O. 12333, d’accéder à des données en transit vers les États-Unis sans que cet accès fasse l’objet d’une quelconque surveillance judiciaire, n’encadre, en tout état de cause, pas de manière suffisamment claire et précise la portée d’une telle collecte en vrac de données à caractère personnel ».

« Une critique possible de la nouvelle annexe »

Un petit détail intrigue, cependant. Le mémo de David Kris, dont les méta-données indiquent qu'il a été enregistré le 15 janvier, fait 78 pages, est extrêmement fouillé et particulièrement documenté. Il renvoie en outre à rien de moins que 362 liens pointant vers des articles, directives, règlements et autres textes officiels particulièrement techniques, eux-mêmes très denses, et a priori impossibles à identifier sauf à être un « professionnel de la profession » des experts en droit du renseignement technique américain.

Or, le tampon de déclassification de l'annexe SIGINT est daté du 7 janvier, et le fichier n'a été mis en ligne que le 13 sur le site web de la NSA. De plus, dans un louable effort de transparence, et pour s'assurer qu'il ne risquait pas de compromettre la sécurité nationale, David Kris précise avoir consulté des représentants de la NSA et d'autres agences gouvernementales, et même « obtenu l'aide du GCHQ », l'homologue britannique de la NSA, afin de s'assurer de l'exactitude de son article.

Il détaille au surplus que son document a « été examiné par le gouvernement pour s'assurer qu'il ne contient pas d'informations classifiées ». De fait, le fichier .pdf est intitulé « nsa-sigint-annex-paper-cleared-by-usg-1-13-2021.pdf », mais sans que l'on comprenne si la référence au 13 janvier correspond à la mise en ligne de l'annexe sur le site de la NSA, ou bien la date à laquelle le document aurait été reçu, envoyé ou bien encore « cleared » et donc validé par le gouvernement US.

Intrigué, je lui ai donc demandé comment il avait pu produire une telle analyse, et l'avoir faite valider par plusieurs représentants de plusieurs agences, même et y compris en Grande-Bretagne, puis de la faire examiner et approuver « par le gouvernement », en moins de 48 heures. Il ne m'a pas répondu.

Reste qu'il est peu probable que David Kris ait pu produire untel travail de décryptage, et encore moins obtenir des réponses de plusieurs représentants de la NSA et du GCHQ, puis faire valider son mémo, en moins de 48 heures.

L'explication pourrait se trouver dans le paragraphe de conclusion. Kris y explique que « l’annexe SIGINT conserve le point de vue d’un opérateur et se concentre sur la satisfaction des besoins de la mission », sans pour autant contribuer à éclairer le débat pour les non-spécialistes, ni donc être en mesure de contribuer au débat public, que les révélations dites Snowden ont contribué à polariser :

« En effet, une critique possible de la nouvelle annexe est qu'elle reste trop ancrée dans les opérations héritées et s'appuie trop fortement sur des catégories, des conventions et d'autres approches traditionnelles qui peuvent être utiles à ceux qui font du SIGINT pour gagner leur vie mais qui peuvent nuire à la clarté pour ceux-ci.

L'équilibre entre l'utilité opérationnelle et la clarté théorique est cependant un équilibre extrêmement difficile à trouver, car le public concerné pour l'annexe SIGINT comprend à la fois des initiés et des étrangers. J'ai essayé, dans ce document, de combler le fossé entre eux, en fournissant une explication de l'annexe SIGINT qui, je l'espère, sera utile à quiconque s'intéresse sérieusement à ce domaine. »

Bien qu'il précise que « les opinions exprimées sont uniquement les miennes et les erreurs de ma seule responsabilité », il ne s'agirait donc pas tant de l'initiative individuelle de celui qui, il y a 15 ans, avait critiqué la NSA. Mais, et probablement, d'une alliance objective entre la NSA et le contributeur du blog de référence pour ce qui est des questions de droit américain en termes de sécurité nationale, afin de vulgariser ce qu'elle autorise ses employés à surveiller, et comment, ou pas.

Le projet d’assujettissement des produits reconditionnés à la redevance copie privée irrite le secteur. SOFI Groupe, société derrière le site Smaaart, s’interroge sur la cohérence gouvernementale, non sans fournir plusieurs chiffres sur les conséquences d'un chantier soutenu bec et ongles par le ministère de la Culture.

Faire tomber les biens reconditionnés dans le champ de la redevance pour copie privée, voilà la nouvelle marotte des industries culturelles. Tout en continuant de frapper les téléphones, box, tablettes, clés USB, cartes mémoires, GPS à mémoire, disques externes et bientôt les ordinateurs neufs, les bénéficiaires de cette ponction reluquent avec appétit les biens de seconde vie.

Une étude d’usages est sur la rampe de la Commission copie privée. Elle devrait être financée par les seules sociétés de perception de ces sommes (SACEM, ADAMI, SPEDIDAM, SPPF, SCPP, SACD, etc.). L’objectif ? Mesurer les pratiques de copie sur ces biens, puis déterminer un barème, publié au Journal officiel dans les prochains mois. Le ministère de la Culture soutient sans surprise l’initiative. Depuis, une bataille s’organise avec d’un côté, la filière du reconditionné, épaulée du bout des lèvres par Cédric O au numérique et Barbara Pompili à l’Environnement. Et de l’autre, les sociétés de gestion collective et la Rue de Valois.

Après Recommerce, un autre acteur, SOFI Groupe, a bien voulu témoigner dans nos colonnes des conséquences d'un tel chantier, non sans revenir sur l’action intentée par Copie France, le collecteur de la redevance pour les sociétés de gestion collective.

L’entreprise basée à St-Mathieu-de-Tréviers en France, au nord de Montpellier, fut créée en 1986. À ses origines, elle était uniquement spécialisée dans la réparation de matériels électroniques dans les télécoms. « Cela fait 35 ans qu’on fait ce métier, en ayant géré en sous-traitance pour le compte d’opérateurs et de constructeurs, la remise en état de matériel sur le territoire » se souvient Jean Christophe Estoudre, son président.

35 ans, mais « un fleuve non tranquille ». La société était l’une des briques du groupe Anovo, lui aussi spécialisé dans la maintenance électronique. Dans les années 2010, des difficultés de gestion stoppent l’aventure. Dépôt de bilan, fermeture d’une dizaine de sites sur les 25 à l’actif… Et parmi eux, SOFI Groupe. Plusieurs cadres décident alors d’investir leurs indemnités de licenciement dans la reprise de l’entreprise montpelliéraine. « On voulait préserver l’activité en France, les emplois et les compétences acquises ».

« Avoir une industrie électronique en France est extrêmement rare aujourd’hui et cela reste difficile à maintenir en raison des coûts structurels face à des pays qui pratiquent le low cost. Nous croyons tout de même à notre savoir-faire. Nous essayons d’avoir une entreprise à l’équilibre, de préserver des emplois. Nous avons une centaine de collaborateurs aujourd’hui, le double par rapport à 2011. C’est un combat de tous les jours » témoigne Jean Christophe Estoudre.

En 2017, la société s’est diversifiée. En plus de son activité de réparation et maintenance, elle s’ouvre au marché du reconditionné. Elle dépose sa marque Smaaart, pour se spécialiser dans cette seconde vie des smartphones et autres tablettes. Une marque « qui se pose sur l’économie circulaire, l’emploi en France, où les produits sont achetés en France, renvoyés dans nos locaux près du Pic St Loup. Nous faisons attention à notre empreinte carbone, tout en conjuguant notre activité dans une démarche sociale ».

La réalité économique n’est pas simple face à la concurrence étrangère : « on essaye de progresser en terme de chiffre d’affaires. Derrière la vente d’un téléphone reconditionné, il y a de l’emploi en usine. Le marché est très concurrentiel avec des acteurs étrangers installés dans des pays low cost, Europe de l’est et Asie notamment. Pour garder le cap, nos niveaux de marges sont très faibles. Ça ne fait rien, on y croit. Nous avons 25 % de croissance chaque année sur notre chiffre d’affaires, mais en tirant le diable par la queue, donc avec des niveaux de marge qui nous permettent d’être à l’équilibre ».

Fin 2019, l'assignation de Copie France 

Fin 2019, la douche froide. Une lettre recommandée avec accusé de réception. Dans l’enveloppe ? « Une assignation de Copie France, qui n’a jamais pris soin de communiquer préalablement avec nous. La société nous réclame le versement de la redevance pour copie privée comme si les produits reconditionnés étaient assujettis au même titre que les smartphones neufs ».

Car si la question de ces biens en seconde vie est arrivée très récemment en Commission Copie privée, sur le front Copie France avait pris les devants. Elle a assigné des dizaines d’entreprises, en considérant que ces téléphones revendus devaient être soumis au même barème que les téléphones neufs.

L’entreprise française, qui reconditionne en s’approvisionnant sur le marché français, a du mal à comprendre. « Pourquoi avec un tel mécanisme de dédommagement calculé sur la durée de vie d’un produit, nous aboutissons à des smartphones taxés une seconde fois alors qu’on essaye de prolonger cette durée ? ». Selon le chef d’entreprise, pas de doute : « si on doit payer, on va juste tuer la filière du reconditionnement ».

Déjà, les ayants droit de Copie France n’ont pas fait dans la demi-mesure. « Et même dans l’arbitraire », corrige Jean-Christophe Estourdre.

Explications : « Nos chiffres sont publiés sur Societe.com. Nous pensons qu’ils ont donc pris notre chiffre d’affaires sur cinq ans, en estimant je ne sais trop comment le panier moyen d’un Smartphone. Ils ont divisé le chiffre d’affaires par le panier moyen pour arriver à un volume d’unités. Et ils ont appliqué le barème de la redevance, sans même nous demander combien de produits avaient été reconditionnés. Ils sont même remontés jusqu’à 2015 en considérant que la totalité du chiffre d’affaires résultait de cette activité… que nous avons débuté en 2017 ! »

Avec sa méthode bulldozer, Copie France lui réclame un chèque de 678 000 euros. En prenant en compte les deux dernières années, l’entreprise pourrait même avoir à débourser près de 1,6 millions d’euros. Une paille.

Pour défendre leur appétit, les membres de Copie France tentent de relativiser, communiqué à l'appui. « La rémunération pour copie privée ne représente que 3 à 4 % du prix d’un téléphone reconditionné, vendu en moyenne 332 euros ».

18,33 euros de marge, puis 12 euros de copie privée 

Jean-Christophe Estoudre conteste, avec un exemple parlant. Un iPhone 8 disposant de 64 Go d’espace de stockage est racheté par SOFI Groupe à peu près 150 euros, hors taxes.

Puis vient le processus de reconditionnement, totalement internalisé. « Les données sont effacées. Nous réalisons un audit, un diagnostic, un contrôle qualité et le processus de reconditionnement. Là-dessus il faut compter aussi sur les couts de commercialisation, la mise en stock et évidemment la livraison. Ces opérations représentent un cout de 65 euros, soit un total de 215 euros. On le vend 280 euros TTC, soit 233,33 hors taxes. Notre marge est donc de 18,33 euros ».

Mais sur ces 8 % de marge, il faut ensuite déduire les frais généraux, les ressources humaines, le marketing, l’administratif, le loyer, l’énergie, les impôts. « Au final, il ne nous reste pratiquement rien. On est juste à l’équilibre ».

«  Dès lors, lorsque Copie France réclame 12 euros de redevance sur les 18,33 euros restants, cela signifie qu’on va donner 65,5 % de notre marge. Presque les deux tiers, quand le tiers restant ne nous permettra pas de financer nos charges. On ne sera plus à l’équilibre, mais en déficit, alors qu’au même moment, des acteurs étrangers échappent à tous les prélèvements, TVA de 20 % + écoparticipation + Copie privée »

Autre commentaire du président de SOFI Groupe : « il faut évidemment être solidaire avec la Culture, mais ce ne peut être au détriment de notre filière. On ne peut attaquer des gens arbitrairement. Les seuls qui survivront seront ces acteurs étrangers qui échappent à toutes les taxes ».

Érences et cohérence 

Le chef d’entreprise cherche aussi la cohérence dans cette décision portée par le ministère de la Culture : « Est-ce qu’on veut vraiment réindustrialiser ? Nous avons souffert nous aussi du Covid. L’entreprise sera en perte cette année, mais nous essayons de nous battre pour maintenir cette filière vertueuse. Aujourd’hui, les pouvoirs publics soutiennent plusieurs lois relatives au reconditionnement, à l’économie circulaire. C’est vertueux pour l’environnement, cela crée de l’emploi en France».

L’entreprise, aujourd’hui en S.A.S, projette d’ailleurs de changer de statut dans les six prochains mois pour migrer vers une entreprise à mission sociale et environnementale. Alors qu’elle forme de nombreux jeunes déjà, « nous allons retrouver beaucoup d’acteurs, des entreprises d’insertions, des travailleurs handicapés… ». Conclusion : « On ne peut pas favoriser la culture en défaveur de l’économie sociale et solidaire et de la lutte pour l’environnement ! »

« Nous avons fait un calcul au sein du SIRRMIET [pour Syndicat interprofessionnel du reconditionnement et de la régénération des matériels informatiques, électroniques et télécoms, ndlr]. La filière représente 2 000 emplois avec 280 millions d’euros en volume d’affaires. Tout cela risque de disparaître au profit d’acteurs étrangers qui échappent à cette redevance ».

Ne pas augmenter le prix des reconditionnés, exhorte HOP

L’association Halte à l’Obsolescence programmée s’est également emparée du sujet. HOP « regrette un manque de vision globale des enjeux de la transition écologique et enjoint le Gouvernement à veiller à ne pas augmenter in fine le prix des appareils reconditionnés ».

« Le gouvernement avec la loi Anti-Gaspillage et Économie Circulaire (AGEC) souhaite encourager l’achat de biens reconditionnés plutôt que neufs en vue d’allonger la durée de vie des produits, ainsi que la réparation (indice réparabilité, fonds réparation et réemploi…). Or, ce secteur émergent reste fragile et doit rester compétitif pour être attractif aux yeux des consommateurs » ajoute-t-elle.

Elle souligne que dans un cycle de vie d’un smartphone, « la phase de fabrication est la plus impactante au niveau environnemental (et social) : 70 kg de matières sont nécessaires pour produire un smartphone, contenant 60 métaux différents.  Ainsi, un smartphone reconditionné permet d’éviter 45kg de CO2 émis et entre 34 et 40 kg de matières premières utilisées. »

Le chantier de l’extension de cette redevance culturelle aux biens reconditionnés est en cours en Commission Copie privée. Aux manettes, pas seulement les ayants droit ou le président de l’instance administrative, mais aussi et surtout le ministère de la Culture.

Depuis plusieurs mois, les ayants droit regardent croître l’univers des reconditionnés, mais non pour ses vertus écologiques, ou les bienfaits sur le portemonnaie des consommateurs.

Les intérêts se concentrent sur la redevance (ou « rémunération ») pour copie privée qui a préservé jusqu’à présent ces transactions. Si en France, la plupart des catégories de supports sont frappées, les biens en seconde vie, smartphones, tablettes, disques durs externes, sont revendus chez les reconditionneurs sans subir ce prélèvement collecté par Copie France.

En 2019, la société civile, qui compte notamment la SACEM parmi ses membres, a amassé 260 millions d’euros pour la mise en circulation en France des tablettes, des smartphones, des disques durs externes, et toutes les autres unités de stockage d’œuvres concernées.

Le paiement réalisé par l’importateur ou le fabricant vient compenser les pratiques de copies d’œuvres réalisées par les particuliers, sans la sacro-sainte autorisation des ayants droit. Mais cette rente n’est pas suffisante. Alors que de moins en moins de personnes copient, l’important est de sauver le butin en étendant la base d’assujettissement. Le mouvement a déjà été entrepris par l’extension de la ponction culturelle aux ordinateurs fixes, portables et autres disques durs nus, actuellement sur la rampe.

Le sujet de l’extension de la redevance est pour sa part arrivé comme une fleur après une réunion ministérielle. Le gouvernement aurait demandé à ce qu��il soit inscrit à l’ordre du jour de la Commission Copie privée, celle chargée d’établir barème et taux pour chaque support. Voilà ce qu’a affirmé Jean Musitelli. Le 16 décembre dernier, le président de cette instance s’est empressé de proposer une modification du programme de travail 2019/2021 pour y introduire ce sujet.

Pour les ayants droit, c’est une nouvelle venue miraculeusement du ciel. Si la réforme est validée au sein de cette commission où ils sont en forces, c’est l’assurance de faire grossir les flux de dizaines de millions d’euros, alors même que la consommation en streaming gagne chaque année du terrain au détriment des copies-à-la-papa. En sus des sommes indument prélevées sur le dos des professionnels. 

Le 12 janvier dernier, ils ont pu compter sur les bons conseils d’Hugues Ghenassia-de Ferran, le sous-directeur des affaires juridiques au ministère de la Culture, un temps directeur adjoint du Conservatoire National Supérieur de Musique et de Danse.

Dans une présentation, l'énarque a étalé arguments économiques et juridiques en faveur de l’assujettissement du reconditionné.

De l’intérêt du ministère

Il faut dire qu’il existe un intérêt entre la Rue de Valois à voir grossir les flux de la redevance perçu par les ayants droit. Sur les 260 millions d’euros collectés chaque année, 25 % des sommes sont réservées par les sociétés de gestion collective afin de financer les festivals notamment.

Or, alors que ces activités culturelles sont au point mort, les mêmes sociétés peuvent désormais transformer ces aides financières au profit des titulaires de droits d’auteur et de droits voisins, frappés par la crise sanitaire. Récemment, le dispositif a été étendu jusqu’à la fin 2021. Inutile de chercher les noms des bénéficiaires, une disposition empêche l’inscription de ces données nominatives sur la AidesCreation.org, base de données initiée par le législateur, après notre procédure CADA destinée à obtenir (enfin) la transparence de ces affectations. 

Dit autrement, plus le ministère soutiendra cette extension, plus les sociétés de gestion collective pourront aider leur secteur sinistré. Et plus ces sociétés disposeront de moyens, et moins le même ministère aura à se saigner de subventions. Un merveilleux exercice de poids et contre-poids. 

10 % de smartphones reconditionnés chaque année

Selon le sous-directeur des affaires juridiques, le reconditionnement « représenterait environ 10 % du nombre de téléphones vendus soit près de 1,5 million d’unités sur 15 millions (…) vendues au cours de l’année 2020 ».

Toujours d’après ses sources, non communiquées, « 86 % des ventes concernent des produits gradés en A et A+ ». À ces niveaux de qualité, ces téléphones flirteraient avec des produits neufs. Ainsi, « ces téléphones ont recouvré leurs fonctionnalités d’origine lorsqu’ils sont mis en vente et (…) il n’est donc pas possible de les assimiler à des biens d’occasion » soutient-il. Peu importe donc que ces téléphones aient déjà été entre d’autres mains et subi la redevance, du moins pour les modèles préalablement mis en circulation en France.

En supposant que ces 1,5 million d’appareils disposent d’une capacité supérieure à 64 Go, l’extension permettrait d’apporter 21 millions d’euros dans les poches des ayants droit (14 euros x 1,5 million). Chaque année.

Mis ou remis en circulation 

Sur le terrain juridique, les yeux se concentrent sur l’article L.311-4 du Code de la propriété intellectuelle.

La redevance pour copie privée, indique cette disposition, doit être versée par le fabricant, l'importateur ou la personne qui réalise des acquisitions intracommunautaires « lors de la mise en circulation en France » des supports. Dans les pays ayant choisi de reconnaitre la copie privée, le droit européen impose en effet la perception de cette somme pour compenser les copies d’œuvres réalisées sur « tout support ».

De ces articles, il en déduit qu’« aucune distinction n’est faite par les législateurs français et européen en ce qui concerne les supports d’enregistrement ». Il est également allé déterrer un avis du Conseil d’État de 2000, où la juridiction a défini la notion de « supports d'enregistrement » très généreusement : « tout élément matériel susceptible de fixer, de manière définitive ou temporaire, une œuvre et de la restituer en vue de sa représentation, indépendamment de la nature de cet élément, des techniques ou procédés utilisés pour la fixation de l’œuvre ».

Conclusion, « la définition des supports retenue par le législateur et par la jurisprudence est très générale et n’opère aucune distinction selon que le support est de première main ou reconditionné ».

En clair, le droit en vigueur n’interdirait pas l’assujettissement des biens reconditionnés. Au contraire. La Cour de justice de l’Union européenne a exigé d’une part que la redevance soit calculée « sur la base du préjudice causé aux auteurs des oeuvres protégées à la suite de l’introduction de l’exception de copie privée », d’autre part, que la perception soit effective, en ce sens que pèse sur les États membres une obligation de résultat : s’ils reconnaissent la copie privée, ils doivent collecter pour compenser le préjudice subi par les ayants droit du fait de cette atteinte à leur monopole.

Arrive enfin l’argument relatif aux usages : « les supports d’enregistrement, lorsqu’ils sont reconditionnés, laissent place à deux durées d’usage successives. En effet, lorsque le support est reconditionné, un nouvel utilisateur a la faculté de réaliser des copies et, de fait, cause un nouveau préjudice aux titulaires de droits, distinct de celui découlant du premier utilisateur ». Pas de doute, pour le juriste : « il est donc légitime justifier d’appliquer une rémunération pour chacune de ces deux périodes ».

Vers un barème provisoire sur une durée d’un an ?

Pour parer au plus pressé, il recommande d’activer une option ouverte à l’article L.311-4 du Code de la propriété intellectuelle qui autorise la mise en place d’un barème provisoire sur une période d’un an, déterminé selon le type de supports et la capacité d'enregistrement.

Comme les prix des biens reconditionnés sont moindres, la part de redevance (exprimée en euro) pourrait être proportionnellement beaucoup plus lourde. L’une des pistes envisagées : alléger cette part en introduisant un abattement « dûment justifié par la Commission afin de ne pas créer une rupture d’égalité avec les produits neufs ».

Problème le prix n’est pas une variable d’ajustement. Le Code ne permet pas de tenir compte du critère tarifaire pour faire alléger (ou alourdir) la redevance.

Pluie de difficultés

On voit rapidement poindre plusieurs difficultés. Principalement, le Code permet d’engager la perception de la redevance lors de « la mise en circulation ». Ici, les téléphones (et autres supports) sont par définition « remis en circulation ».

Pour Hughes Ghenassia-de Ferran, cela n’est en rien bloquant. Le code ne dit pas « qu’il s’agit de la première mise en circulation » tempère-t-il. « Si l’intention du législateur avait été d’éviter d’assujettir à la redevance deux fois un même support lorsqu’ils sont remis sur le marché, il aurait peut-être précisé que la rémunération n’est due que lors de la première mise en circulation ».

Le Code civil indique pourtant qu’« un produit ne fait l'objet que d'une seule mise en circulation ». En frappant le reconditionné, on vient finalement imaginer une deuxième mise en circulation.

Autre difficulté. Comment qualifier les reconditionneurs ? Est-ce des importateurs, des personnes qui réalisent une acquisition intracommunautaire ou bien des fabricants ? Seules ces trois personnes sont redevables de la redevance, qu’ils font peser ensuite aux distributeurs puis aux consommateurs.

Selon le juriste du ministère de la Culture, pas de doute : « la personne qui opère une transformation sur un support et qui le remet sur le marché a bien la qualité de fabricant ».

Une interprétation dégommée par Mathieu Gasquy (AFNUM). Pour ce membre du collège des industriels, « la transformation ne concerne pas les capacités de stockage ou la mémoire du support. L’opérateur vide cette mémoire, ajoute un câble, nettoie l’appareil, mais il n’y a pas de véritable transformation du support ».

Et celui-ci de s’interroger : « quelle est la différence entre un utilisateur qui garde le même téléphone pendant sept ans et qui de temps en temps efface du contenu pour faire de la place par rapport à sept utilisateurs différents qui remettraient le même téléphone dans le circuit des reconditionnés chaque année » ?

« Dans le premier cas, la RCP serait payée une fois alors que dans le second cas, elle serait acquittée sept fois », alors « qu’il s’agit du même support sur lequel on a simplement effacé de la mémoire ».

Une durée de vie de deux ans 

Contestation d'Idzard Van der Puyl : voilà des cas « très hypothétiques ». Pour le membre de Copie France, « en moyenne un téléphone est utilisé au moins pendant deux ans ».

Ce critère des deux ans ne doit rien au hasard. En Commission Copie privée, lorsque des études d’usage sont réalisées en amont des barèmes, les sondés sont interrogés sur leurs pratiques de copie sur une durée de 6 mois. Ensuite, les résultats sont extrapolés.

L’avantage est immédiat : comme les pratiques de copies sont plus importantes lors des premiers mois de détention (notamment lors du transfert des fichiers d’un ancien appareil vers un nouveau), la petite astuce permet de dilater les compteurs.

Toutefois, pour éviter une explosion des barèmes, la Commission a plusieurs fois limité volontairement ce coefficient à 4 en prenant pour référentiel une « durée de vie » théorique de deux ans.

Aujourd’hui, miracle ! Ces 24 mois, utilisés autrefois pour amoindrir l’emballement, servent aujourd'hui d’arguments pour justifier l’assujettissement des biens reconditionnés, partant qu’un téléphone ne se garderait que deux années.

Qu'elle était verte, l'avalée 

Avant cette phase, une étape politique devra être franchie. Le 12 janvier dernier, le sénateur Partick Chaize a déposé un amendement sur la proposition de loi visant à réduire l'empreinte environnementale du numérique en France.

Il propose que la redevance pour copie privée ne soit jamais due « lorsque les supports d’enregistrement sont issus d’activités de préparation à la réutilisation et au réemploi de produits ayant déjà donné lieu à une telle rémunération ».

Un texte adopté contre l’avis du gouvernement, porté bon gré mal gré par Cédric O. L’arbitrage final à l’Assemblée nationale permettra de jauger le poids du secrétariat d’État au numérique et celui du ministère de la Transition écologique face au ministère de la Culture.

Les paris sont ouverts, et les ayants droit, rouges d’impatience.

L’extension de la redevance aux produits reconditionnés soulève de lourdes critiques de la part des acteurs du secteur. Les sociétés de gestion collective, qui collectent ces sommes, ont elles publié un communiqué pour rétablir leur version des faits. Présentation du texte, accompagné de nos commentaires. 

Deux camps s’affrontent actuellement. Les ayants droit qui ont déjà lancé une salve de procédures devant les instances judiciaires contre des reconditionneurs, tentent désormais d’obtenir un barème spécifique en Commission Copie privée.

Du côté des industriels du secteur, c’est la soupe à la grimace, et la crainte d’un écrasement des marges et derrière d’une fermeture de plusieurs d’entre eux, sans compter des effets néfastes pour la planète. 

Pour gagner une manche médiatique, les sociétés de gestion collective ont publié hier un communiqué. Communiqué que nous allons examiner, point après point.

« Copie privée : à qui profite le green ?
Les revendeurs de téléphones et appareils reconditionnés réclament une exonération de la rémunération pour copie privée, répandant depuis quelques jours dans la presse de nombreuses contre-vérités, qui risquent d’avoir des répercussions désastreuses sur un secteur culturel déjà lourdement éprouvé par la crise ».

La phase difficile traversée par les industries culturelles est une évidence. Spectacles repoussés, date après date, salle de ciné et musées, etc. fermés. Un rappel : ce secteur n’est pas le seul frappé puisque la crise sanitaire est aveugle et concerne l’ensemble des strates de la société.

Les reconditionneurs ne réclament pas uniquement une exonération de la « rémunération » pour copie privée, ils veulent surtout que ces produits ne soient pas soumis au même prélèvement plusieurs fois au fil de sa vie. Solution qui viendrait les pilonner, et faire payer les consommateurs plusieurs fois. 

« Non, la rémunération pour copie privée n’est pas une taxe !

La rémunération pour copie privée est la contrepartie d’un droit dont chacun bénéficie quotidiennement : celui de dupliquer librement des œuvres protégées (films, musiques, photos, livres…), acquises légalement, pour son usage personnel. En contrepartie, les auteurs, artistes et producteurs de ces œuvres reçoivent une rémunération qui compense le préjudice financier résultant de l’utilisation massive et gratuite de leurs œuvres. Ce mécanisme existe dans pratiquement toute l’Union européenne et n’a cessé de démontrer son caractère vertueux. Il profite à la fois aux consommateurs de biens culturels, aux créateurs, artistes et professionnels de la création artistique et apporte toujours plus de valeur aux smartphones, tablettes et appareils de stockage qui auraient moins d’intérêt sans la possibilité d’y stocker nos contenus culturels. »

Il est vrai que les sociétés spécialisées dans le reconditionnement ont fait une erreur. Ils ont parfois dépeint cette ponction comme une « taxe », de nature fiscale donc. Or, il n’en est rien.

Si elle était de nature fiscale, ce prélèvement serait examiné à l’Assemblée nationale et au Sénat, au fil de débats et rapports publics, avec d’épais rapports justifiant tel choix plutôt que tel autre. Ce n’est toutefois pas le projet de loi de finances qui vient fixer les montants prélevés sur les supports vierges pour compenser non « le droit », mais la « liberté » pour chacun de réaliser des duplications d’œuvres sans autorisation. C'est une commission administrative qui est chargée de fixer son assiette et ses taux.

Dans cette bataille sémantique, les industries culturelles ne sont pas en reste. Elles parlent non d'une « taxe », mais d'une « rémunération », le nez tout concentré sur le seul droit français. Le Code de la propriété intellectuelle parle effectivement de « rémunération pour copie privée », au fil d'articles d’abord passés entre leurs mains avant d’être votés par les députés et sénateurs. 

Si l’on remonte d’un cran, la directive sur le droit d’auteur et les droits voisins de 2001 évoque elle le paiement d’une « compensation équitable », véritable nom européen de ce prélèvement. Et là est la véritable appellation. Cette redevance n’est donc pas non plus une « rémunération ». Elle compense un préjudice. Elle a donc une nature indemnitaire, sûrement pas alimentaire.

Cette guerre des mots n’est pas neutre. Ce choix lexical a l'avantage néanmoins de repousser toutes les critiques et scléroser les réformes qui viendraient menacer les rendements. Si on peut s’attaquer à « une taxe », on ne touche pas à « une rémunération ». 

« L’exonération des appareils reconditionnés apparaîtrait d’autant plus injustifiée que l’usage, en matière de stockage et de duplication d’œuvres, est similaire sur un appareil neuf et reconditionné. Il est donc légitime que cette rémunération compensatoire s’applique à chaque utilisateur d’un appareil, qu’il soit neuf ou reconditionné »

Cette affirmation tombe comme une évidence pour les ayants droit, qui prélèvent ces sommes (260 millions d'euros en 2019). Or, elle n’est corroborée par aucune étude solide. Rien ne dit qu’une personne ayant acheté un téléphone en fin de vie aura les mêmes pratiques de copie privée que le tout récent possesseur du tout dernier Apple ou Samsung.

D’ailleurs, le sujet questionne en Commission copie privée où les ayants droit se sont proposés de réaliser une étude d’usages pour jauger les pratiques de copie sur les reconditionnés. Cette étude est normalement de la compétence du ministère de la Culture, mais sa privatisation va permettre de s’échapper des délais contraints du Code des marchés publics. 

« La rémunération pour copie privée appliquée aux appareils reconditionnés est minime

La rémunération pour copie privée ne représente que 3 à 4% du prix d’un téléphone reconditionné, vendu en moyenne 332 euros. Son montant n’est donc pas de nature à perturber le marché des supports reconditionnés alors qu’il constitue un enjeu important pour le financement de la culture. Un smartphone vendu par le leader du marché reconditionné coûte sensiblement le même prix en France que dans les autres pays européens. Rappelons que les tarifs de la rémunération pour copie privée sont fixés par une Commission mixte paritaire et encadrés par des conditions juridiques qui s’appuient sur des études d’usage. »

Les ayants droit prennent pour exemple un téléphone de 332 euros où le poids de la redevance représenterait jusqu’à 4 % du prix, soit un peu moins de 14 euros. Une poussière.

De fait, la présentation est biaisée, car elle infuse l’idée selon laquelle le barème de redevance est déterminé en fonction du prix du produit. Or, ce n’est pas le cas. Le calcul est effectué selon la capacité de stockage, nuance importante. 

Barème copie privée (Copie France)

Résultat des courses : un téléphone reconditionné de 128 Go proposé par exemple 154,90 euros sera lesté de 14 euros de redevance. La si légère « rémunération pour copie privée » devrait s’approcher cette fois des 10 % du prix… Où comment transformer la plume en plomb. 

Au passage, les ayants droit disent vrai lorsqu’ils expliquent que les « tarifs » sont fixés par une Commission administrative. Par contre, celle-ci n’est paritaire que dans la forme. 

Selon le Code de la propriété intellectuelle, « les types de support, les taux de rémunération et les modalités de versement de celle-ci sont déterminés par une commission présidée par un représentant de l'État et composée, en outre, pour moitié, de personnes désignées par les organisations représentant les bénéficiaires du droit à rémunération, pour un quart, de personnes désignées par les organisations représentant les fabricants ou importateurs des supports (…) et, pour un quart, de personnes désignées par les organisations représentant les consommateurs. »

Le mal congénital est décrit en ces quelques mots : il faut être un as de la géométrie non euclidienne pour appeler « paritaire » une commission divisée en trois groupes. Trois groupes, où les ayants droit ont 12 sièges, les représentants des consommateurs 6 et ceux des industriels 6 autres. Il n’est pas non plus nécessaire d’être un fin stratège pour comprendre que les 12 ayants droit, qui perçoivent, parlent d’une même voix, quand le représentant d’une association de consommateur ne partage pas les mêmes intérêts qu’un fabricant de disques durs ou un fournisseur d’accès. La bonne vieille recette du diviser pour mieux gagner, qui permet donc au secteur culturel de faire adopter facilement les tarifs de la redevance dont ils vont toucher les fruits. 

« L’économie des supports reconditionnés n’est ni verte, ni circulaire, ni pourvoyeuse d’emplois !

Les supports reconditionnés viennent essentiellement des États-Unis, sont recyclés en Europe avec des composants provenant de Chine et sont ensuite revendus dans le monde entier. Une exonération de la rémunération pour copie privée profiterait uniquement aux revendeurs, qui sont principalement des grands acteurs de l’Internet et pas aux recycleurs. »

L’argument des « grands acteurs de l’Internet » peut être efficace. Il avait déjà été victorieusement porté par les mêmes industries culturelles, lorsque, au moment du vote en faveur de la directive relative au filtrage des contenus, ils n’avaient de cesse de critiquer le lobbying de Google. 

Les sources de cette affirmation ne sont pas davantage précisées. Si l’on comprend bien : au motif que des téléphones reconditionnés viendraient de l’étranger, il faudrait soumettre tous les recycleurs français à cette ponction, même ceux-ci qui reconditionnent sur un marché où les produits ont déjà été soumis une première fois à la redevance.

Nous laissons aux ayants droit la responsabilité de soutenir que le monde du reconditionné n’est pas vert. Les petits acteurs du secteur qui s’échinent dans une démarche éthique apprécieront l'affirmation à sa juste valeur.

« Cette exonération priverait la culture d’une ressource vitale à son dynamisme

Dans un contexte de crise historique, la rémunération pour copie privée est essentielle à la survie, demain, d’une création française fertile et diversifiée. Priver la culture des revenus provenant du secteur très florissant des appareils numériques reconditionnés porterait un grave préjudice aux artistes, aux auteurs et aux entreprises du secteur, estimé aujourd’hui à 30 millions d’euros.

Depuis plus de 35 ans, la rémunération pour copie privée prouve son efficacité en contribuant au financement de plus de 10 000 projets culturels et à la rémunération de milliers d’artistes, créateurs, auteurs, producteurs, éditeurs d’œuvres artistiques dans tous les genres. Depuis le mois de mars dernier, elle abonde les fonds d’urgence et de secours aux auteurs, artistes et titulaires de droits voisins, qui vivent des situations d’extrême précarité et de détresse liées aux effets de la crise sanitaire. Une exonération de rémunération pour copie privée sur ces supports représenterait une menace grave pour le secteur culturel, reconnu pour être pourvoyeur d’emplois jeunes, non qualifiés et non délocalisables. 

Face à cette campagne mensongère des revendeurs pour ne pas payer la rémunération pour copie privée, les organisations signataires de ce communiqué demandent au gouvernement de maintenir l’assujettissement des supports reconditionnés, déjà prévu par la loi actuelle, et de défendre un mécanisme de rémunération essentiel pour la culture et ceux qui la font vivre. Le travail déjà engagé sur ce sujet par la Commission de la Copie privée doit pouvoir se poursuivre sereinement afin d’envisager un barème adapté à ces supports. »

Les ayants droit ont raison : le secteur culturel traverse une grave crise…comme d’autres secteurs. Seulement, le communiqué souffre d’amnésie. Il oublie de rappeler qu’en France, le système a été calibré pour prélever la redevance pour copie privée tout en haut de la chaîne commerciale, lors de la mise en circulation par l’importateur, là où on ne connaît pas encore la destination des produits.

Les importateurs se retournent ensuite auprès de leurs distributeurs, qui eux-mêmes font payer l’acheteur final. Conclusion : avec un tel régime, tout le monde paye, alors que selon le droit européen, seules les personnes physiques pour leurs copies privées doivent supporter cette charge. Donc pas les professionnels.

Juridiquement, cette discrimination est inscrite à l’article 5, 2, b) de la directive Droit d’auteur de 2001, qui prévient que la compensation équitable doit être versée pour les seules « reproductions effectuées sur tout support par une personne physique pour un usage privé et à des fins non directement ou indirectement commerciales ». 

Certes, les millions de professionnels (associations, entreprises, hôpitaux, collectivités locales, établissements, etc.) ont la possibilité de se faire rembourser ce qu’ils n’avaient pas à payer ou bien même de se faire exonérer. Cette possibilité a été ouverte par une loi de 2011 sur la copie privée, mais le système est totalement grippé pour le plus grand avantage des ayants droit qui conservent les sommes non réclamées.

Les raisons tiennent d’une part à un déficit crucial d’information et d’autre part au coût administratif de ces procédures, d’autant que le remboursement est conditionné à la production d’une facture mentionnant le poids de la copie privée. Obligation trop rarement respectée par les distributeurs (point 6° de cet arrêté).

En octobre 2011, le projet de loi relatif à la copie privée, qui a donc introduit la possibilité pour les « pro » de se faire rembourser ou exonérer, évaluait la perte consécutive pour les ayants droit « entre 20 et 30 % des rémunérations perçues chaque année ». 

Entre 2012 et 2019, le secteur culturel a prélevé 2,094 milliards d’euros de redevance Copie privée. Si l’étude d’impact avait dit vrai, il aurait dû rembourser/exonérer entre 628,2 et 837,6 millions d’euros. Selon le dernier rapport annuel de Copie France, ils n’ont remboursé/exonéré sur la même période que des miettes : un peu plus de 7 millions d’euros.

La différence, entre 621,2 et 830,6 millions d’euros, a donc été conservée par ceux qui réclament désormais l’assujettissement du reconditionné.

Le film d'Oliver Stone consacré à Edward Snowden et à la « surveillance de masse » était sous-titré « Nous sommes tous sur écoute ». Le texte expliquant ce que les employés de la NSA ont le droit faire, ou pas, évoque certes une « collecte en vrac », mais « très éloignée d'une approche totalement illimitée ».

Ancien sous-procureur général adjoint au ministère de la Justice américain, David Kris avait supervisé les questions de sécurité nationale à la Justice de 2000 jusqu'à son départ du département en 2003.

En 2006, il avait rendu publique une note (.pdf) de 23 pages contestant la légalité d'un programme d'espionnage permettant à la NSA d'intercepter, sans mandat, les communications internationales impliquant des citoyens et des résidents américains.

Une critique que le Washington Post avait alors qualifiée de « dissidence publique inhabituelle de la part d'un ancien fonctionnaire de l'administration ».

Kris avait par la suite été désigné membre du National Security Agency Advisory Board (NSAAB, ou NSA Emerging Technologies Panel, qui n'existe plus), composé d'experts nationaux dans divers domaines techniques chargés d'« étudier, évaluer et conseiller périodiquement le directeur de la NSA sur la recherche, le développement et l'application des progrès scientifiques et technologiques existants et émergents, les progrès du chiffrement et d'autres sujets ».

Ces dernières années, il a beaucoup écrit à ce sujet sur Lawfare, le blog juridique de référence sur les questions de sécurité nationale aux États-Unis. Le 15 janvier, il y a publié un mémo de 78 pages de décryptage d'une « Annexe SIGINT » (pour SIGnal INTelligence) de 44 pages (dont 35 de directives, et un glossaire de 7 pages), en grande partie déclassifiée, le 7 janvier dernier, et mise en ligne par la NSA le 13. 

Ce vademecum technico-juridique et très complexe, à mesure qu'il a été rédigé à l'intention des praticiens de la NSA qui ont le « droit d'en connaître » sur ses modus operandi, est destiné à mettre à jour une précédente directive qui ne l'avait pas été depuis mai 1988, alors même que la téléphonie mobile et Internet ont depuis révolutionné le SIGINT.

« L'annexe SIGINT est une réalisation très importante », écrit Kris. Elle met à jour les règles régissant le SIGINT « afin de refléter les développements constitutionnels, statutaires, technologiques et opérationnels des trois dernières décennies. Le temps qu'il a fallu pour y parvenir témoigne du défi que représente cette tâche et des efforts de ceux qui l'ont menée à bien ».

Mais pour l'appréhender, il faut d'abord revenir sur l'histoire de la NSA, et donc aussi du droit et des lois en matière de surveillance et d'interception des télécommunications. Voilà pourquoi le texte de Kris est plus long que celui de la NSA. Et pourquoi nous avons scindé notre compte-rendu en deux parties : une première sur l'histoire de la régulation de la NSA, une seconde sur la nouvelle annexe SIGINT.

Notre dossier sur les agents de la NSA :

• Ce que peuvent faire les agents de la NSA (ou pas) 1/2
• Ce que peuvent faire les agents de la NSA (ou pas) 2/2 (à venir)

« La NSA est la seule entité du gouvernement qui écoute "vraiment" »

En exergue de son mémo, Kris rappelle « une vieille blague selon laquelle la NSA est la seule entité du gouvernement fédéral qui écoute "vraiment" ». Pour autant, précise-t-il, « l'annexe SIGINT n'est pas facile à lire, en partie parce qu'elle est conçue pour les opérateurs et analystes SIGINT professionnels. C'est l'un des principaux moyens par lesquels la NSA se parle de ce qui est et n'est pas autorisé à chaque étape du cycle de vie du SIGINT. Cela comprend la collecte, le traitement, l'interrogation, la conservation et la diffusion de renseignements SIGINT ».

Ce pourquoi, spécialiste de ces questions, Kris a décidé de l'expliquer d'une manière qui serait plus accessible aux « outsiders ». Il propose en outre un historique de l'interception des télécommunications par l'armée américaine, remontant jusqu'aux prémisses de la deuxième guerre mondiale.

On y découvre notamment qu'en 1940, le gouvernement avait résolu un différend entre les multiples branches militaires en charge du SIGINT en divisant la couverture du trafic diplomatique japonais de sorte que l'armée était responsable du décryptage, de la traduction et des rapports les jours pairs du mois, et la marine était responsable les jours impairs...

Ce genre de bisbilles shadokiennes finirent par déboucher sur la création de la NSA, en 1952, bien que son existence n'ait été officiellement reconnue qu'en 1957, et qu'elle fut encore pendant très longtemps surnommée « No Such Agency » [l'agence qui n'existait pas, ndt].

Kris revient également sur les nombreux programmes secrets de la NSA ayant violé le droit à la vie privée des citoyens américains. Il y est donc question de SHAMROCK qui, pendant 30 ans et jusqu'en 1975, lui permit de recevoir la copie de millions de télégrammes internationaux, à raison de 150 000 par mois. Ainsi que de MINARET, qui lui permit d'espionner les télécommunications de militants pacifistes et de personnalités telles que Martin Luther King ou Jane Fonda, et dont la révélation a contribué à l'adoption du FISA.

« Les réseaux numériques ont réduit à la fois la vie privée et la sécurité »

Pour Kris, « la seule question importante est peut-être de savoir si l’annexe SIGINT donne au gouvernement plus ou moins d’autorité qu’il n’en jouissait auparavant » :

« Ceux qui cherchent une réponse simple ou singulière à cette question seront déçus. D'une part, si l'annexe SIGINT est en grande partie non classifiée, il reste quelques règles SIGINT qui le sont. En outre, la version antérieure de l'annexe SIGINT a été révisée pour la dernière fois en substance dans les années 80 – un fait étonnant – et les environnements juridiques et technologiques du SIGINT ont beaucoup évolué depuis.

En 1988, lors de la dernière révision importante de l'annexe précédente, l'Internet ne faisait pas encore partie de la vie quotidienne. Certains éléments du gouvernement américain prétendent qu'ils "vont dans le noir" ["going dark", en VO, ndt] en raison des changements technologiques, tandis que les défenseurs des libertés civiles et d'autres affirment que la technologie a créé un "âge d'or de la surveillance" ["golden age of surveillance", ndt].

Mon propre point de vue est que la technologie des réseaux numériques a réduit à la fois la vie privée et la sécurité, mais en tout cas il ne fait aucun doute que la technologie a eu un impact majeur sur le SIGINT. Les changements constitutionnels, législatifs et technologiques compliquent tout effort de comparaison de l'autorité relative du SIGINT en 1988 et aujourd'hui .»

Il estime en outre que « la conclusion du document pourra intéresser un groupe différent de professionnels : ceux qui sont impliqués dans le débat en cours Schrems-RGPD concernant les transferts de données transfrontaliers entre les États-Unis et l'Europe ». Elle résume en effet certaines des principales protections pour les personnes américaines (et les personnes aux États-Unis), ainsi que certaines des protections pour les personnes non américaines situées à l'étranger.

Du Watergate à la commission Church

Kris y rappelle tout d'abord que le SIGINT « consiste à collecter des renseignements étrangers à partir des systèmes de communication et d'information et de les fournir à des clients du gouvernement américain, tels que de hauts responsables civils et militaires ». 

Suite du scandale du Watergate, et à la révélation de plusieurs programmes secrets permettant aux services de renseignement américain d'espionner des citoyens américains opposés à la guerre du Vietnam notamment, le Sénat instaura en 1975 une commission dite Church, du nom de son président, afin de déterminer si et « dans quelle mesure, le cas échéant, des activités illégales, irrégulières ou contraires à l'éthique étaient menées par un organisme du gouvernement fédéral ».

Elle entraîna notamment l'adoption du Foreign Intelligence Surveillance Act (FISA) de 1978, destiné à réglementer la surveillance physique et électronique ainsi que la collecte d'informations de « renseignements étrangers » entre « puissances étrangères » et « agents de puissances étrangères » soupçonnés d'espionnage ou de terrorisme.

Il permet au ministère de la justice d'obtenir des mandats du Foreign Intelligence Surveillance Court (FISC) avant ou jusqu'à 72 heures après le début de la surveillance. La FISA autorise un juge du FISC à délivrer un mandat s'« il y a une raison probable de croire que la cible de la surveillance électronique est une puissance étrangère ou un agent d'une puissance étrangère ».

Le FISA permet en outre au président ou à son délégué d'autoriser une surveillance sans mandat pour la collecte de renseignements étrangers s'« il n'y a pas de probabilité substantielle que la surveillance acquière le contenu de toute communication à laquelle un ressortissant des États-Unis est partie ».

D'Al Quaida à Stellar Wind

Suite aux attentats du 11 septembre 2001, Georges Bush valida un programme, Stellar Wind, qui autorisait des interceptions sans mandat lorsque le gouvernement avait « une base raisonnable pour conclure qu'une partie à la communication est membre d'Al-Qaida, affiliée à Al-Qaida, ou membre d'une organisation affiliée à Al-Qaida, ou travaillant pour soutenir Al-Qaida et que l'une des parties à la conversation était "en dehors des États-Unis" ».

Dans les fait, Stellar Wind permettait le data mining d'une vaste base de données de communications des citoyens américains, y compris les communications par courrier électronique, les conversations téléphoniques, les transactions financières et les activités sur Internet.

La révélation de son existence dans la presse fit scandale, et contribua l'adoption du FISA Amendments Act de 2008 (FAA). Cette loi rendit illégal le fait de se livrer intentionnellement à une surveillance électronique sous l'apparence d'un acte officiel ou de divulguer ou utiliser des informations obtenues par surveillance électronique sous l'apparence d'un acte officiel, en sachant que cela n'a pas été autorisé par la loi.

Son article 702 permet au Procureur général des États-Unis et au Directeur du renseignement national d'autoriser conjointement le ciblage des personnes censées être raisonnablement situées à l'extérieur des États-Unis, mais elle est limitée au ciblage des personnes non américaines. Une fois autorisées, ces acquisitions de données (SIGINT) peuvent durer pendant des périodes allant jusqu'à un an.

En vertu du paragraphe 702 (b) de cette loi, une telle acquisition de données est cela dit soumise à plusieurs limitations. Plus précisément, une telle surveillance :

• ne doit pas viser intentionnellement une personne située aux États-Unis lors de l'acquisition;
• ne doit pas viser intentionnellement une personne identifiée comme étant localisée à l'étranger si cette personne en particulier est généralement située aux États-Unis;
• ne doit pas viser un citoyen américain qui serait localisé en dehors des États-Unis;
• ne doit pas viser à acquérir toute communication à laquelle l'expéditeur et tous les destinataires sont connus au moment de l'acquisition comme étant localisés aux États-Unis;
• doit être menée d'une manière compatible avec le Quatrième amendement de la Constitution des États-Unis.

« Il est étonnant que la dernière modification significative remonte à 1988 »

Pour autant, souligne David Kris, « il reste beaucoup de SIGINT que le Congrès a, tout à fait intentionnellement, laissé non réglementé par la loi et non soumis à la juridiction de la Cour FISA », à commencer par les interceptions de télécommunications effectuées par des étrangers à l'étranger et ne transitant pas par le territoire américain.

Dans son rapport sur le projet de loi qui deviendrait la FISA, par exemple, la commission du renseignement de la Chambre reconnut que « les normes et procédures de surveillance à l'étranger peuvent devoir être différentes de celles prévues » par le FISA. Et le comité nota « avec approbation » l'existence d'un décret et de règlements pour régir cette surveillance.

L'« annexe SIGINT » publiée le 13 janvier et qui régit la collecte de renseignements par tous les éléments du ministère de la Défense, dont la NSA fait partie, est le descendant de ces règlements mentionnés par le Congrès, encadrant le SIGINT qui n'est pas soumis au FISA.

Pour autant, David Kris trouve tout de même « étonnant que la dernière modification significative de l'annexe précédente remonte à 1988, sous l'administration Reagan, une décennie après la FISA et seulement deux ans après la promulgation de Electronic Communications Privacy Act (ECPA) ».

Contrairement à ce que son nom laisse entendre, l'ECPA ne visait pas tant à protéger la vie privée des Américains, mais à faire du détournement de satellite un crime. La loi avait cela dit profité de l'occasion pour étendre les restrictions gouvernementales sur les écoutes téléphoniques afin d'y inclure les transmissions de données électroniques par ordinateur, et protéger les communications filaires, orales et électroniques pendant le transit.

Le piratage d'HBO, et des communications satellites de la CIA

L'ECPA avait en effet été adopté après qu'un hacker utilisant le pseudonyme « Captain Midnight » ait brouillé le signal satellite de la chaîne HBO pour y diffuser un message d'une durée de quatre minutes et demie. Vu par plus de la moitié des 14,6 millions d'abonnés, il protestait contre les tarifs de HBO pour les propriétaires d'antennes paraboliques, qu'il jugeait trop chers.

Ironie de l'histoire, le film d'espionnage dont il avait interrompu la diffusion, Le Jeu du faucon, raconte l'histoire vraie de deux jeunes Américains qui avait vendu des secrets concernant le chiffrement des communications et les satellites d'espionnage américains à l'Union soviétique dans les années 70.

En 1974, Christopher John Boyce avait en effet été promu à un poste très sensible, avec une habilitation de sécurité top secret, dans le « Black Vault » (centre de communications classifiées) de TRW, une entreprise aérospatiale qui travaillait pour les services de renseignement américain.

Lors de son procès, il expliqua avoir commencé à recevoir des câbles mal acheminés de la CIA discutant du désir de l'agence de déposer le gouvernement australien, parce que ce dernier voulait fermer les bases militaires américaines en Australie, y compris la station d'écoute de Pine Gap, et retirer les troupes australiennes du Vietnam.

Choqué, il aurait d'abord envisagé d'en parler à la presse, mais la divulgation antérieure par les médias de l'implication de la CIA dans le coup d'État chilien de 1973 n'ayant rien changé, Boyce préféra contacter l'URSS.

Il rassembla nombre de documents classifiés détaillant comment décrypter le trafic sécurisé des messages du gouvernement américain et les spécifications détaillées de ses derniers satellites d'espionnage, et demanda à son ami d'enfance Andrew Daulton Lee, un revendeur de cocaïne et d'héroïne, d'aller les revendre aux Soviétiques.

Mais Lee fut arrêté par la police mexicaine devant l'ambassade soviétique, le 6 janvier 1977, « presque par accident » : un policier qui l'avait vu jeter des documents sur le sol de l'ambassade soviétique l'arrêta pour jet de détritus, avant de le torturer, puis de découvrir qu'il avait un microfilm top secret en sa possession.

Condamné en 1977 à 40 ans de prison, Boyce s'échappa en 1980, braqua 17 banques dans l'espoir de s'enfuir en URSS, étudia l'aviation pour tenter de faire évader son comparse, avant d'être arrêté en 1981, et d'être de nouveau condamné à trois ans de prison pour évasion, et 25 ans pour ses braquages. Libéré sur parole en 2002, il a depuis plusieurs fois exprimé son soutien aux actions d'Edward Snowden.

La Commission copie a décidé d’enclencher la guerre aux produits reconditionnés. Le sujet a été inscrit au programme, et les ayants droit sont en ordre de bataille. L’hypothèse d’un barème de redevance sur ces supports d’occasion fait sursauter le secteur. Interview de Benoît Varin, cofondateur de Recommerce.

Le 26 mai 2020, nous révélions le projet des ayants droit, collecteurs de cette ponction culturelle sur les produits neufs : assujettir le marché des biens d’occasion reconditionnés. Et pour avancer sur un tel chantier, rien de mieux qu’un bulldozer.

Les sociétés de gestion collective comme la SACEM, via leur société civile Copie France, ont assigné plusieurs spécialistes du reconditionnement. Dans l'esprit des ayants droit, reconditionner un produit, c’est lui redonner une nouvelle vie auprès d’une nouvelle personne. Et comme celle-ci peut réaliser des copies légales d’œuvres sur un téléphone d’occasion, la redevance s’applique sans nuance afin de compenser la liberté de chacun de réaliser des duplications d’œuvres. 

En décembre dernier, le fidèle Jean Musitelli, président de la Commission administrative chargée de définir le barème et le taux de cette ponction que perçoivent les industries culturelles, a décidé d’inscrire le sujet à l’ordre du jour.

Et, sans surprise, les ayants droit se sont proposés de réaliser (et payer) les études d’usages qui permettront de jauger les pratiques de copie auprès d’un panel. Ces études permettront ensuite de détailler un barème spécifique sur les biens de seconde vie, en fonction des résultats.

Avantage de ce « sacrifice » financier ? La commission n’aura pas à respecter les règles des marchés publics, enfermées dans des délais jugés trop longs au regard des appétits culturels.

Au Parlement, se joue une bataille parallèle. Un amendement porté par Patrick Chaize a été adopté au Sénat dans le cadre de la proposition de loi visant à réduire l’empreinte environnementale du numérique. Il prévoit que la redevance pour copie privée « n’est pas due non plus lorsque les supports d’enregistrement sont issus d’activités de préparation à la réutilisation et au réemploi de produits ayant déjà donné lieu à une telle rémunération. »

Un amendement soutenu à titre personnel par Cédric O, qui a dû malgré tout porter l’avis « défavorable » du gouvernement, Jean Castex et la Culture étant opposés à cette restriction. Le texte part maintenant devant les députés, où le groupe LREM est en force.

Face à l’appétit du secteur culturel, les professionnels du reconditionnement sont vent debout. Ils dénoncent cette compensation sur les biens reconditionnés qu’ils vivent comme une « taxe ». En témoigne notre échange avec Benoît Varin, cofondateur de Recommerce, spécialisé dans les smartphones reconditionnés.

Quel est aujourd'hui le poids du marché du reconditionné en France ?

Sur le smartphone, l’étude annuelle Recommerce - Kantar, estime à 2,2 millions le nombre de téléphones reconditionnés vendus chaque année en France. En valeur, sur un site Internet comme Recommerce.com, le prix des modèles reconditionnés varie entre 69,90€ et 1279,90€ pour un prix moyen pondéré de vente de 190€.

Pour l’instant on n’a pas de barème copie privée spécifique aux produits reconditionnés. À combien estimez-vous la majoration ?

Selon les annonces, la société Copie France souhaite taxer les produits d'occasion jusqu’à 14 euros sur les smartphones de plus de 64 Go, leurs barèmes étant déterminés en fonction des capacités et de l’usage. Cependant la redevance copie privée normalement compense un préjudice lié à des copies légales et s’applique à la première mise sur le marché. Selon le Code Civil, il n’y a qu’une seule mise sur le marché. Les produits neufs étant déjà taxés lors de la première mise sur le marché, les produits reconditionnés ne devraient donc pas être taxés plusieurs fois.

Certes, mais des produits peuvent être reconditionnés à l’étranger, sans avoir subi la redevance française…

Cela dépend, puisque des produits européens sont aussi taxés par des redevances, comme en Allemagne. Pour notre part, nous réclamons déjà une harmonisation européenne et surtout que l’on ne paye pas plusieurs fois la redevance, cette redevance pouvant être assimilée à une taxe par le consommateur payeur.

Vous craignez donc un barème français qui soit plus élevé en Europe influant les décisions des consommateurs ?

Exactement. Cela va inciter les consommateurs à acheter des produits dans des pays où la Redevance n’existe pas ou parce que le barème y sera moins élevé ou encore auprès de sites de vente en ligne notamment où la redevance ne semble pas être payée. Cela risque de faire comme ce qu’il se passe sur les marketplaces où les fraudes à la TVA sont nombreuses.

En frappant le reconditionné, il y aurait en effet deux redevances sur le même produit, mais les ayants droit estiment que cela concerne aussi deux utilisateurs et donc deux usages successifs...

On ne comprend pas trop ce mécanisme qui n’existe pas dans le droit. S’il faut taxer à chaque fois qu’il y a un changement de main, cela signifierait de taxer à chaque échange ou transaction de produits d’occasion, et donc de réclamer la redevance lors d’échange entre particulier et par exemple chaque fois qu’un consommateur vend un disque dur externe d’occasion?

Pourquoi seuls les acteurs industriels qui emploient des salariés en France, qui investissent dans des formations de techniciens, qui garantissent la qualité des produits devraient payer cette redevance ? C’est une attaque au secteur de l’occasion en général et aux acteurs professionnels francais en particulier que nous sommes en train de subir.

Quelles seraient les conséquences d’un tel assujettissement ?

Les menaces sont multiples et importantes. Il y a des risques de voir beaucoup d’entreprises fermer en France puisque cela impacterait le modèle économique des acteurs professionnels de l’occasion. On anticipe aussi des délocalisations et des pertes de compétitivité face aux produits neufs qui sont vendus de moins en moins cher, face aussi aux produits reconditionnés vendus venant de pays où les barèmes sont moindres voire nuls. S’ils nous taxent à 14 euros sur certains produits, je ne vois pas comment on peut rester compétitif.

Côté consommateur, c’est aussi le risque de faire perdre l’intérêt d’acheter ce type de produit et finalement lui faire perdre du pouvoir d’achat. Tôt ou tard, les acteurs économiques se diront « autant acheter un neuf low cost comme un smartphone 5G à 250 euros ».

Avez-vous eu des échanges avec le gouvernement, soit directement ou par le biais d’un syndicat ?

Oui, on est très engagé au sein de la Fédération professionnelle du réemploi et de la réparation (Rcube.org), que l’on préside en tant que Recommerce. Nous discutons avec le gouvernement et avons sensibilisé les parlementaires aux enjeux. On leur a expliqué les enjeux pour notre secteur de cette menace qui pèse sur le secteur du réemploi.

Cette redevance est obsolète. Elle date du magnétophone, des cassettes VHS, des disquettes… à l’heure du streaming, les habitudes des consommateurs se tournent vers Netflix, les vidéos à la demande, Deezer… Qui vraiment aujourd’hui utilise son téléphone pour faire des copies ?

Elle n’est pas seulement obsolète, elle est aussi inadaptée. Elle n’a pas été prévue pour aider les artistes en situation de crise, mais à faire respecter le cadre légal du respect du droit d’auteur. Il semble y avoir un mélange des genres où la culture utilise la crise pour essayer de taxer le reconditionné, alors que notre secteur n’est pas du tout stabilisé et est en phase de construction.

Cédric O s’est dit particulièrement sensible à l’amendement Chaize protégeant le reconditionné, mais il a été tenu par le gouvernement de porter un avis défavorable…

Il y a des pressions de la part du monde de la culture et un gouvernement partagé entre le soutien au tissu industriel français tourné vers le reconditionnement et le numérique responsable, et le soutien au monde de la culture, aujourd’hui dans une situation très difficile du fait de la fermeture des salles.

Nous, acteurs du reconditionné, on veut bien faire beaucoup de choses, respecter la loi, payer des taxes en France, recruter, former, innover…, mais on ne peut pas être la solution à cette crise. On ne peut pas se permettre d’être taxé pour essayer de sauver la culture. D’un, les montants ne seraient pas suffisants, de deux ce n’est pas légal au regard du Code civil et du Code de la propriété intellectuelle, selon lesquels on ne peut taxer le produit qu’une seule fois, lors de la mise en circulation.

Quid des conséquences sur le terrain de l’écologie ?

Très clairement, augmenter par exemple de 10 % le prix d’un produit reconditionné entraînera mécaniquement une réduction de l’offre en produits responsables, la réparation deviendrait mécaniquement plus chère et cela aboutirait à un ralentissement de l’économie circulaire en France.

Cela serait dramatique pour tout ce que font les entrepreneurs militants engagés pour un autre monde, plus respectueux des ressources. Prolonger la vie des produits, c’est très clairement lutter contre le réchauffement climatique. Si le modèle économique de la réparation est touché, il sera plus difficile de créer des emplois locaux et d’investir en France dans ce nouveau secteur, cela serait effectivement dramatique pour ce changement de système qu’il faut arriver à enclencher.

80 % de l’impact environnemental vient de la production de produits manufacturés : les matières premières, le transport, la transformation des micropuces, etc. Plus on prolonge la durée de vie du produit, plus on amortit le sac à dos écologique et donc plus on limite cet impact sur l’environnement.

Faites-vous partie des sociétés assignées par Copie France ? Que vous réclame-t-elle ?

Oui. On pense que plus d’une trentaine d’entreprises ont été assignées, pour un montant total représentant près de 100 millions d’euros. Copie France nous réclame nos chiffres depuis le début de la société et une rétroactivité qui serait de cinq ans avec des montants réclamés de plus de 30 millions d’euros par an.

Concrètement, Copie France veut connaître votre sortie de stock et multiplier le total par 14 euros pour les smartphones supérieurs à 64 Go ?

Vous avez tout compris. Depuis qu’on existe, on a vendu plus de 3,3 millions de téléphones. Ce qui représenterait 46,2 millions d’euros pour la somme des mobiles vendus. Comprenez que l’on se sente un peu menacé.

Nous sommes au tribunal. Une procédure est en cours, alors que notre argument est simple : cette rétroactivité n’existe pas, cette taxe Copie privée n’existe pas sur les produits reconditionnés. Rien officiellement ne nous dit que les produits reconditionnés doivent payer une nouvelle fois sans passer par une loi, une nouvelle réglementation.

Comment donc un organisme indépendant de tout contrôle démocratique et privé comme Copie France pourrait d’un seul coup créer une nouvelle redevance pouvant être considérée comme une taxe payée par les consommateurs ? C’est surprenant.

La grande loi sur l’audiovisuel ayant été abandonnée et le projet de loi sur le piratage encore incertain, les députés LREM ont déposé une proposition de loi dédiée au monde du sport. Des dispositions s'attaquent tout particulièrement aux contrefaçons dans ce secteur, armées d'ambitieux outils. Explications.

Avec leur proposition de loi destinée à « démocratiser le sport en France », les parlementaires de la majorité veulent « faciliter l’accès aux pratiques physiques et sportives pour tous les Français, et notamment ceux qui en sont aujourd’hui les plus éloignés ».

Cet objectif « implique de faciliter l’accès aux infrastructures, multiplier les aménagements de plein air et de mener des actions de sensibilisation, d’améliorer le quotidien des bénévoles et des pratiques en club dans un cadre d’organisation renouvelé ».

Mais pas seulement. Crampons aux pieds, les députés LREM profitent de la fenêtre pour intensifier la lutte contre la retransmission illicite des manifestations et compétitions sportives. La raison nous avait été expliquée par Aurore Bergé : quand les droits du foot baissent en valeur, « ce n’est pas juste la ligue qui va en souffrir, c’est tout le financement du foot amateur, votre gamin qui va à son club le dimanche, club qui bénéficie du financement de la ligue grâce à la taxe Buffet ».

La taxe sur la cession de droits télévisés d'événements sportifs prévue à l’article 302 bis ZE du Code général des impôts. Son taux est fixé à 5 % du montant des encaissements. Son produit « atteint environ 50 millions d’euros, contribue au financement du sport à hauteur d’une part plafonnée, augmentée en 2019 de 25 à 40 millions d’euros », chiffre sur ce point, le rapport de la députée relatif à la communication audiovisuelle. 

Le sujet des compétitions sportives avait déjà intéressé la Hadopi et le CSA. En mars 2020, dans une étude écrite à quatre mains, les deux autorités relevaient aussi que « les éditeurs de télévision, en particulier les chaînes payantes, subissent la concurrence déloyale d’acteurs illégaux qui captent une audience importante sans jamais avoir acquis de droits de diffusion de compétitions sportives ». « La consommation d’offres illégales constitue une perte et génère un manque à gagner en termes d’abonnements et d’audience ». 

Une trousse à outils taillée contre le streaming illicite

Le texte veut compléter le Code du sport avec un arsenal taillé pour la lutte contre le piratage de ces compétitions, notamment en streaming. Concrètement, une chaine ou une ligue sportive pourra saisir le président du tribunal judiciaire pour obtenir « toutes mesures proportionnées propres à prévenir ou à faire cesser cette atteinte, à l’encontre de toute personne susceptible de contribuer à y remédier ».

La plume est volontairement floue et généreuse pour permettre à la juridiction d’envisager toutes les mesures possibles pour faire cesser l’atteinte à ses intérêts. Cette procédure devra concerner un site qui diffuse de manière répétée des matchs (de foot ou autre) sans autorisation.

La mesure envisagée est particulièrement ambitieuse puisque le texte autorise le président du tribunal judiciaire à ordonner, au besoin sous astreinte, la mise en œuvre de ces mesures de blocage pour chacune des journées du championnat, ce sur un an.

Le blocage, le retrait ou le déréférencement pourra donc être décidé avant que l’infraction ne soit répétée. Mieux, la décision pourra viser un site nommément ou même un site qui n’a pas encore été identifié à date. C’est le système de l’ordonnance dynamique qui devrait rendre jalouses les industries culturelles.

Un blocage des sites futurs, via une ordonnance dynamique

Pour s’attaquer à ces sites ou miroirs futurs, la ligue ou la chaîne communiquera aux FAI ou encore aux moteurs leurs « données d’identification nécessaires » en suivant les modalités recommandées par la Hadopi. Soit une sorte de liste noire que les FAI auront à bloquer.

Dans ce cadre, la Haute Autorité pour la diffusion des œuvres et la protection des droits sur internet se voit en outre chargée d’établir des modèles d’accord type que les parties prenantes (titulaires de droits, ligues professionnelles, les chaînes, les FAI, et toute personne susceptible de contribuer à remédier aux atteintes) seront invitées à signer.

Ces accords détermineront :

• les conditions d’information réciproque en cas de violations des droits
• les mesures qu’elles s’engagent à prendre pour les faire cesser
• l’intervention, si nécessaire, de la Hadopi pour constater l’existence de ces violations et la répartition du coût de ces mesures

Des agents de la Hadopi assermentés

Le texte entend également assermenter les agents de la Hadopi à constater les faits susceptibles de constituer des atteintes aux droits des acteurs concernés. Ils pourront agir directement, ou sur saisine du titulaire de droits, de la ligue ou de la chaîne.

Ils pourront dans ce cadre,

• Participer sous un pseudonyme à des échanges électroniques
• Reproduire des œuvres
• Extraire, acquérir ou conserver des éléments de preuve
• Acquérir et étudier les matériels et logiciels propres à faciliter la commission des atteintes aux droits (en pense aux box Kodi)

Leurs constats seront consignés dans un procès-verbal. Ces agents Hadopiens seront même habilités à informer les titulaires de droits, la ligue professionnelle ou la chaîne de TV « des faits qu’ils ont constatés et leur communiquer tout document utile à la défense de leurs droits ».

Leur constat permettra de nourrir leur mission (notamment en amont de l’identification de ces sites), et faciliter les actions des acteurs privés, outre l’exécution des décisions de justice à l’égard des sites miroirs. Pour ces derniers, voilà un moyen économique de déporter sur l’État la charge des différents constats qu’ils auraient normalement été amenés à dresser.