“Contre-productif”, “stupide”, un “danger pour l’Europe”, les spécialistes de la sécurité informatique interrogés par OWNI ne mâchent pas leurs mots pour décrire le projet de directive européenne qui vise à étendre à toute l’Union européenne ce qui existe déjà en France depuis la Loi pour la confiance dans l’économie numérique (LCEN) de 2004 : la répression du hacking. Qui est à la base un usage créatif des technologies et n’a donc rien d’illégal en soi.

Dangereux hackers d’intérêt public

Depuis jeudi et jusqu'à samedi soir, en plein Paris, le festival Hackito Ergo Sum réunit la crème des hackers sur les ...

En résumé : “Les cyberattaques sur des systèmes de communication deviendrait une infraction pénale passible d’au moins deux ans de prison. La possession ou la distribution de logiciels et d’outils de hacking serait aussi une infraction pénale, et les entreprises seraient responsables des cyberattaques commises dans leur intérêt.”

Sous couvert d’intentions louables, ce projet de directive présenté par la commission des libertés civiles ressemble fort à une bêtise technocrate dont les origines remontent à plusieurs années.

Ralf Bendrath, conseiller politique de l’eurodéputé Vert Jan Philipp Albrecht, rapporteur fantôme pour la directive, et accessoirement ancien hacker, nous rappelle l’historique :

L’approche générale pour combattre le cybercrime et les attaques contre les systèmes d’information à l’aide de lois pénales et de répression est basée sur la Convention sur le cybercrime de 2001 approuvée par le Conseil de l’Europe, et la nouvelle directive met à jour une ancienne décision de mise en application des ministères de la justice et des affaires intérieures européens de 2005

Épée de Damoclès

Sur certains points importants, le texte est flou, laissant une grande marge d’interprétation au juge. Ralf Bendrath déplore que l’on poursuive une politique aux effets pervers :

Dès le début, nous avons expliqué que si vous pensez avoir le moindre effet sur les mauvais garçons en mettant en place des sanctions et en introduisant quelques circonstance aggravantes dans un code pénal, vous êtes juste naïf.

Dans ce sens, la directive ne fera pas beaucoup la différence. Le danger vient plus des dispositions qui pourraient aussi affecter les “white hackers” (les “gentils hackers”), ceux qui identifient et réparent les failles de sécurité. Nous avons besoin d’eux car ils servent de système immunitaire de la société de l’information, et l’article 7 qui bannit les outils de hacking ou l’article 8 sur l’incitation à certaines attaques pourraient aussi les entraver.

C’est une épée de Damoclès qui est donc suspendue au-dessus des hackers. Eric Filiol, chercheur français spécialisé dans la sécurité informatique, directeur du centre de recherche de l’ESIEA, est tout aussi inquiet :

Cela peut concerner beaucoup de monde, les hackers, les chercheurs, c’est-à-dire ceux qui font vraiment de la sécurité informatique. Cela risque d’être à géométrie variable en fonction des intérêts. Ce texte est liberticide.

L’innovation vient d’en bas

Les opposants au texte redoutent que les intérêts défendus soient surtout ceux des grandes entreprises du secteur soient favorisées, car elles bénéficieraient de dérogations. L’eurodéputé suédoise du Parti Pirate Amelia Andersdotter détaille :

Tant qu’il faut une autorisation  pour l’utilisation d’outils, c’est bien sûr très bénéfique pour toutes les entreprises déjà établies dans le domaine de la sécurité – ils ont la capacité administrative d’avoir une autorisation, alors que quelqu’un qui bidouille sur son temps libre ne pourra pas.

Toutefois, Amelia Andersdotter pense que cette proposition ne fait pas non plus totalement les affaires des cadors de la sécurité :

Je pense que le lobby le sait aussi, si les gens ne peuvent plus se livrer à leur passion durant leurs loisirs, les entreprises de sécurité perdront leur base de recrutement.

Philippe Langlois, organisateur du festival Hackito Ergo Sum, qui a réuni la semaine dernière la crème des hackers à Paris, s’inquiète, en particulier sur le frein que cela pose en terme d’innovation :

On risque de construire un nouveau système où les poids lourds de l’armement et de la sécurité ont un droit non écrit d’avoir des outils de sécurité hostiles.  Sauf que celui qui innove dans la sécurité, ce n’est pas la grosse entreprise, c’est le petit gosse de 14 berges qui déchire tout, qui n’est pas identifié.

Et de s’interroger sur le rôle de l’ European Network and Information Security Agency (Enisa), l’agence de l’Union européenne dédiée à la cybersécurité, censée encourager les “best practices”. Sollicitée deux fois, elle n’a pas répondu à nos questions.

À quoi sert l’Enisa, ils sont payés pour ça, à réfléchir aux conséquences de leurs actes, pourquoi n’ont-ils pas expliqué pourquoi c’est débile ?

Retard

Le corollaire de ce système à deux vitesses, poursuit Eric Filiol, est que “les hackers vont se réfugier dans l’Internet underground, ils vont utiliser des BBS, chiffrer leurs communications, cacher leurs découvertes.” Plus encore, le chercheur y voit là le fruit du lobbying américain qui aurait tout intérêt à ce que la loi passe :

Cela va nous faire prendre du retard, alors que nous travaillons déjà beaucoup leurs entreprises américaines, Vupen (société française spécialisée en recherche en vulnérabilités) par exemple, les a déjà pour principaux clients. C’est un danger pour l’Europe. Et cela va inciter les hackers à travailler pour des intérêts contestables, des grosses entreprises commerciales.

En Allemagne, où une loi similaire a été passée en mai 2007, l’effet a été immédiat : dans les mois qui ont suivi, des projets ont été délocalisés ou arrêtés plutôt que de prendre le risque d’encourir des sanctions. Si Ralf Bendrath craint aussi les conséquences néfastes, il n’y voit pas là le fruit du lobbying américain :

Autant que je sache, il n’y a pas eu de pression particulière, car cette directive fait partie d’un ensemble de mises à jour d’un certains nombres de lois de régulation sur les affaires intérieures et le droit pénal, pour lesquelles l’Union européenne a désormais une nouvelle base légale, avec le Traité de Lisbonne.

Contacté par OWNI, EADS a répondu qu’il “ne souhaite pas s’exprimer sur ce sujet pour l’instant car la directive européenne n’est encore qu’un projet”. Le délai était trop court pour Thales et Vupen ne nous a pas répondu.

Hackers de toute l’Europe, bougez-vous

30 ans de bidouille politique

Le Chaos Computer Club, célèbre et influente organisation de hackers allemands, fête ses trente ans cet automne. Pour ...

Les Verts s’activent pour infléchir la loi, réussissant à insérer “quelques garde-fous dans la position du Parlement européen” contre les risques de saper le travail des hackers amateurs. Sans toutefois être sûr qu’ils passent toutes les étapes. Les négociations entre la Commission européenne, le Parlement européen et le Conseil des ministres commenceront le 23 avril, avec une session plénière au  en juillet prochain. Ralf Bendrath en appelle à la communauté :
“Cela serait d’un grand secours que les experts en sécurité informatique et les hackers des différents pays de l’UE pouvaient parler avec leur eurodéputé et leurs administrations dans les semaines qui viennent pour s’assurer que nous aboutissions au meilleur résultat possible, ce qui dans ce cas, signifie expurger les dispositions les plus stupides et les plus dangereuses du texte final.” Et en la matière, le fameux modèle allemand sert de référence, encore une fois, comme l’explique Eric Filiol :

L’Allemagne agit de manière intelligente, en développant leur communauté de hackers : le Chaos Computer Club a pignon sur rue. Il est sain d’avoir une communauté active.

La preuve : avec 514 813 demandes d’accès en 2009 aux données de trafic conservées par les opérateurs de téléphonie fixe ou mobile, et les fournisseurs d’accès à l’internet, contre 503 437 en 2008, la France est championne d’Europe! Elle occupe la première place pour ce qui est de l’exploitation des “logs“, également nommées “données de trafic“, ou “données de connexion“, encore plus intrusives que ne le sont les désormais célèbres “FaDet” (pour “factures détaillées“). Toutes ces demandes étant faites par des OPJ dans un cadre judiciaire.

Le Royaume-Uni arrive en seconde position, avec 470 222 demandes d’accès, loin devant la Lituanie (85 315), les Pays-Bas (85 000) ou encore l’Espagne (53 578), l’Allemagne n’en dénombrant de son côté “que” 12 684 (pour 81,5 millions d’habitants). Comme le soulignait ce matin Le Canard enchaîné, “en bonne logique, le territoire de nos voisins allemands devrait être livré à la terreur et à la dévastation“.

Ces chiffres de la Commission européenne, publiés en annexe du Rapport d’évaluation concernant la directive sur la conservation des données (.pdf), contrastent très fortement avec ceux dont on disposait jusqu’alors. Deux sources ont récemment livrés des estimations très inférieures :

• Le Figaro soulignait ainsi récemment que le nombre d’écoutes téléphoniques était passé de 5 845 en 2001 à 35 000 aujourd’hui, mais qu’il n’y aurait eu “que 500 interceptions sur Internet alors que le besoin en France est dix fois supérieur“.
• La Commission nationale de contrôle des interceptions de sécurité (CNCIS) qui, en 2008 et pour les seules enquêtes relatives à l’antiterrorisme, avaient recensé 34 911 d’accès aux “données techniques” en 2008, et 39 070 en 2009.

Conclusion logique: 93% des demandes d’accès concernent donc des enquêtes autres que terroristes.

De la lutte antiterroriste aux atteintes à la propriété intellectuelle

C’est pourtant le terrorisme qui est à l’origine de cette législation. Le dispositif a été introduit, en France, suite aux attentats du 11 septembre 2001, afin d’obliger les fournisseurs d’accès à internet (FAI) à garder la trace, pendant un an, de tout ce que font les internautes sur les réseaux.

Adoptée en 2006 en réaction aux attentats de Madrid et de Londres, la directive sur la conservation des données a quant à elle élargi le dispositif à “la recherche, la détection et la poursuite d’infractions pénales graves“, ainsi qu’aux opérateurs de téléphonie et non plus seulement d’internet, afin de les “contraindre à conserver les données relatives au trafic et les données de localisation pendant une durée comprise entre six mois et deux ans“. Sont concernées les données mentionnant :

La source, la destination, la date, l’heure, la durée et le type de communication, ainsi que le matériel de communication des utilisateurs et, dans le cas de la téléphonie mobile, des données relatives à la localisation de l’équipement.

Cette directive constitue “sans aucun doute l’instrument le plus préjudiciable au respect de la vie privée jamais adopté par l’Union européenne eu égard à son ampleur et au nombre de personnes qu’elle touche“, a récemment déclaré (.pdf) le contrôleur européen à la protection des données, qui dénonce cet espionnage généralisé de nos télécommunications. Une situation qui pourrait changer, nombreux étant ceux qui, en Europe, plaident pour une révision de la directive.

Le rapport de la Commission relève à ce titre que “la plupart des États membres qui ont transposé la directive autorisent, dans leur législation, l’accès aux données conservées et leur utilisation pour des finalités dépassant celles couvertes par la directive“. La France est ainsi le seul pays à préciser que la conservation des données vise tout à trac “la prévention d’actes de terrorisme et la protection de la propriété intellectuelle” :

Explication de la “limitation des finalités de la conservation des données dans le droit national”

A en croire le tableau comparatif de la Commission, la France est le seul pays à mentionner ainsi explicitement la “protection de la propriété intellectuelle“. Les autres évoquent successivement:

• “les missions des services de renseignement et de sécurité” (Belgique)
• de “lutte contre la corruption, de contre-espionnage et de renseignement militaires” (Pologne)
• les infractions “graves” (Chypre)
• “très graves” (Lituanie)
• “particulièrement graves” (Grèce)
• ou susceptibles d’une peine de prison d’au moins un (Luxembourg), deux (Hongrie) trois (Estonie) ou cinq ans (Irlande)
• ou encore la “sauvegarde de la sécurité de l’État et la préservation de la vie humaine” (Irlande)

La France est aussi le seul pays à avoir lancé la chasse aux “pirates” avec sa Hadopi…

Objectif : identifier les sources des journalistes

Dans sa réponse à la Commission européenne, la France précise que les autorités nationales autorisées à accéder aux données sont le parquet, ainsi que les officiers de police et les gendarmes désignés. Chaque demande d’accès doit être motivée, puis l’agent doit “demander l’autorisation de la personne du ministère de l’intérieur désignée par la Commission nationale de contrôle des interceptions de sécurité“. Au passage, Paris omet soigneusement de préciser que le fisc et le gendarme de la Bourse y accèdent eux aussi à l’envi, tout comme les douaniers et ce, sans aucun contrôle judiciaire.

C’est aussi grâce à ces FaDet que la Direction centrale du renseignement intérieur (DCRI), à qui il avait été demandé d’identifier les hauts-fonctionnaires soupçonnés d’informer la presse, a réussi à contourner la loi sur les écoutes téléphoniques, l’an passé, avant d’”outer” David Sénat, membre du cabinet de la Garde des Sceaux Michèle Alliot-Marie, ainsi que quelques agents du Quai d’Orsay magistrats.

Le rapport de la Commission fait curieusement l’impasse sur ces écarts, avançant qu’il n’y aurait aucune preuve d’un quelconque détournement de données personnelles… ce qui fait bondir l’European Digital Rights (Edri, qui réunit 28 ONG européennes de défense des libertés et de la vie privée), mais également le Conseil de l’Union qui, dans sa réponse (.pdf) à la Commission, rappellent, a contrario, plusieurs autres cas d’excès ou d’abus de ce type.

En Allemagne, Deutsche Telekom s’est ainsi servi de ces données pour espionner 60 personnes, dont des journalistes et des syndicalistes, afin de trouver l’informateur qui leur avait confié des documents. En Pologne, deux services de renseignement avaient eux aussi utilisé illégalement ces données, sans contrôle judiciaire, pour identifier les sources de journalistes. En Hongrie, des policiers ont contourné la loi pour confier des données à des personnes non autorisées.

Une directive anticonstitutionnelle ?

Les cours constitutionnelles de trois pays (Roumanie, Allemagne et République tchèque) ont annulé leurs transpositions en droit interne de la directive “au motif qu’elles étaient inconstitutionnelles“, et la Cour de justice va elle aussi devoir se prononcer sur la légalité de la directive.

Le rapport de la Commission souligne également, mais très pudiquement, que “le contrôleur européen à la protection des données a, lui aussi, exprimé des doutes quant à (sa) nécessité“.

Pour être exact, Peter Hustinx a qualifié la directive d’”atteinte massive à la vie privée“, et déclaré que “conserver les données relatives aux communications et les données de positionnement de tous les citoyens de l’Union européenne, chaque fois qu’ils utilisent leur téléphone ou internet, constitue une énorme ingérence dans le droit au respect de la vie privée de la population” :

En fait, la question qui se pose n’est pas de savoir si l’accès à certaines données de la téléphonie et de l’Internet peuvent être nécessaires pour lutter contre des crimes graves, mais si cet objectif nécessite que les données relatives au trafic des communications de l’ensemble des citoyens soient conservées systématiquement pour des périodes allant jusqu’à deux ans ?

Un taux d’efficacité de… 0,011%

En l’état, la directive repose en effet “seulement sur la supposition qu’elle constitue une mesure nécessaire et proportionnée“, le contrôleur estimant que “l’heure est venue de fournir suffisamment de preuves pour étayer cet argument” :

Sans ces preuves, la directive sur la conservation des données devrait être retirée ou remplacée par un instrument plus ciblé et moins invasif remplissant les exigences de nécessité et de proportionnalité.

Peter Hustinx se permettait même d’exprimer “des doutes quant au fait que des preuves convaincantes seront fournies concernant la nécessité de conserver des données à une si grande échelle“, soulignant qu’”un certain nombre de juridictions dans le monde semblent survivre sans ce type de mesures“.

De fait, le rapport n’apporte aucune évaluation statistique sur l’efficacité de la conservation des données. Arguant de quelques affaires de cybercriminalité et de pédopornographie, les services de police la qualifient d’”absolument indispensable et déterminante“, non seulement parce qu’elle permet de confondre des suspects, vérifier des alibis, contacter des témoins, démontrer une complicité mais également, et la Commission insiste lourdement à ce sujet, parce qu’elle permet d’acquitter des innocents, ou de “mettre hors de cause des personnes soupçonnées, sans devoir recourir à d’autres méthodes de surveillance, telles que l’interception de communications et la perquisition, susceptibles d’être jugées plus intrusives“.

En 2006, une étude de l’office fédéral de police criminelle allemand (BKA) avait estimé, en 2007, que le taux d’élucidation était passé de 55% à 55,006%, grâce à l’exploitation des données de trafic, soit un taux de progression de 0,011%… ce qui fait dire au groupe de travail du Parlement allemand sur la conservation des données que celle-ci complètement “disproportionnée” quant à sa finalité :

Il apparaît clair que le succès de la rétention massive des données est très limité.

Les experts du parlement allemand estiment également qu’”il est impossible de réécrire la directive de sorte qu’elle se mette en conformité avec la charte des droits fondamentaux“, et se prononcent clairement pour un dispositif plus respectueux de la présomption d’innocence :

L’Union européenne doit abandonner cette expérience immédiatement et remplacer cette collecte totalement disproportionnée de données des télécommunications de l’ensemble de la population par un instrument qui ne préserve que les seules données des suspects.

Reste donc à savoir combien de personnes ont été visées par le 1/2 million de demandes d’accès aux données de trafic effectué chaque année en France, mais aussi, et surtout, combien ont été condamnées…

IWF, une autorité “suivie de près”

Y interviendra Peter Robbins, directeur général de l’Internet Watch Foundation (IWF). Cette agence indépendante anglaise fournit aux opérateurs une liste d’URL pointant vers des contenus à caractère pédo-pornographique. Cet été, l’IWF a publié, et remis à la Commission Européenne, un document (PDF) présentant, notamment à l’intention des décideurs, son expérience et le fonctionnement de son système.

Selon la Fédération Française des Télécoms (FFT), l’IWF est “citée comme l’autorité de référence pour la lutte contre la pédopornographie sur internet, et ses actions sont suivies de près“. Par les pays scandinaves, l’Australie, mais aussi la France. En 2008, suite à une visite à l’IWF, Nadine Morano, secrétaire d’Etat chargée de la Famille, convoquait tous les FAI français pour parler blocage. Et l’exemple du Royaume-Uni est souvent cité par les défenseurs de l’article 4, sur le blocage de contenus pédopornographiques en ligne, de la Loppsi (loi d’orientation et de programmation pour la performance de la sécurité intérieure) adoptée la semaine dernière par le Sénat.

Au Royaume-Uni, le blocage des URL est volontaire, et chaque opérateur est libre de choisir la technologie la plus adaptée à son réseau. Les principales techniques utilisées sont le blocage par inspection du contenu ou DPI (Deep Packet Inspection) et le blocage hybride (combinaison de BGP et d’inspection d’URL via DPI). Dans les deux cas, cela nécessite de faire remonter le trafic (en totalité ou en partie) vers des serveurs en amont sur les réseaux afin de pouvoir l’inspecter.

“Impossible” sur les réseaux français

Le problème, martèlent depuis des mois les opérateurs français, c’est que l’infrastructure des réseaux en France, maillée et décentralisée, n’a rien à voir avec celle du Royaume Uni. “Ils [les pouvoirs publics NDLR] n’ont toujours pas percuté que les exemples scandinaves et au Royaume-Uni ont été mis en œuvre sur des périmètres limités, et sur des réseaux correspondant à ce qui était mis en œuvre ici il y a 10 ans sur les réseaux câbles» explique ainsi Free. A propos du blocage hybride, la FFT écrit que si cela peut être “acceptable” dans un réseau de petite taille comme c’est le cas aux Royaume-Uni (ou sur des réseaux d’entreprise, domestiques, etc.), “en revanche, cela s’avère impossible dans le cas des FAI français”. Egalement des acteurs techniques expliquent, qu’en recentralisant le trafic, l’idée d’un filtrage «cœur de réseau» irait “à l’encontre de l’architecture même d’Internet et de son développement souhaitable”, et “doit être définitivement abandonnée“.

Avec l’article 4 de la Loppsi, les FAI recevront régulièrement une liste noire d’“adresses électroniques” à bloquer. Les termes “adresses électroniques” ont été choisis pour permettre de faire notifier aussi bien des adresses IP que des URL. Pour les autorités, sur le papier, l’avantage de bloquer des URL (plutôt qu’un nom de domaine ou une adresse IP) est de limiter les effets de bords visibles. Principalement le surblocage, c’est-à-dire bloquer des contenus, légaux, ne figurant pas sur la liste. Pourtant, en Angleterre, le blocage d’une seule image sur Wikipédia (pochette de l’album Virgin Killers de Scorpions) a eu des dommages collatéraux sur toute l’édition de l’encyclopédie en ligne.

La proposition de directive : blocage et accès

Selon l’article 21 de la proposition de directive européenne, les États membres de prendre “les mesures nécessaires pour obtenir le blocage de l’accès par les internautes sur leur territoire aux pages Internet contenant ou diffusant de la pédo-pornographie”. Il ajoute que “des garanties appropriées sont prévues” pour que le blocage “soit limité au strict nécessaire” et que les fournisseurs de contenu soient “informés autant que possible de la possibilité de le contester”.

L’article 5 lui punit d’une peine de prison d’au moins un an, le fait d”accéder en connaissance de cause“, via les réseaux, à de la pédo-pornographie. Nous nous étions interrogés sur le sens de cet article à la lecture de la déclaration écrite 29, adoptée au Parlement Européen en juin dernier. Cette dernière souhaite étendre aux moteurs de recherche la directive sur la conservation des données afin de “contrer avec rapidité et efficacité” la pédo-pornographie en ligne. En droit français, une telle requête, tout comme une analyse des contenus via DPI, relèverent du secret des communications électroniques, qui ne peut être levé que dans des conditions prévues par la loi : interceptions judiciaires et interceptions de sécurité.

En mai dernier, le Contrôleur européen de la protection des données (CEPD) rendait un avis très critique sur cette proposition de directive. Notamment sur l’impact du blocage de sites “sur les droits fondamentaux à la vie privée et à la protection des données”.

Maj 30 septembre : Sur son site, le Parlement a publié un communiqué relatif à cette audition.

Un texte en cache un autre

Ainsi, la la déclaration 29 (pdf) «invite le Conseil et la Commission à «mettre en œuvre la directive 2006/24/CE en l’étendant aux moteurs de recherche (…)”. On note que la référence, par son numéro, à la directive sur la conservation des données n’est pas explicite. Et le texte très imprécis : quelles données, quelle durée et pour quelle utilisation ?

Surtout, les supports (prospectus, affiches, site web”, etc.) utilisés pour inciter les euro-députés à signer la déclaration, ne mentionnent jamais ce point. Y figure seulement la création du système d’alerte rapide, ce que nombre d’euro-députés sont prêts à soutenir. Une méthode que Françoise Castex (S&D) qualifie de “malhonnête intellectuellement”.

Il y a deux semaines, le texte avait recueilli 324 signatures, soit près des 369 nécessaires à son adoption. Certains euro-députés ont découvert l’existence ont alors découvert l’existence de cette mesure. Estimant avoir été induits en erreur, ils ont retiré leur signature, et appelé leurs collègues à faire de même.

Et, il y a quelques jours, le nombre de signataires était inférieur à 300. En réaction mardi dernier, Tiziano Motti a envoyé un mail de “clarification” à l’ensemble des euro-députés. Il y explique avoir utilisé les termes “moteurs de recherche” par “souci d’éviter les aspects techniques”. Et que l’initiative concerne en fait «les contenus, images et vidéos figurant des abus d’enfants sur des plates-formes Internet”, tels que Facebook ou YouTube. Jeudi, le texte avait ses 369 signatures.

Quelle portée ?

Hier, dans une interview au au site suédois Europaportalen l’euro-député rappelle qu’une déclaration écrite n’est pas un texte législatif. En effet. Mais elle indique la position officielle du Parlement européen vis-à-vis de la Commission. Or, justement la directive sur la conservation des données doit être bientôt évaluée par la commissaire aux Affaires Intérieures, Cécilia Malmström. Et pourrait être révisée avant fin 2010.

Signalons que, par ailleurs, Cécilia Malmström est l’auteur de la proposition de directive “relative à l’exploitation et aux abus sexuels concernant des enfants et à la pédo-pornographie”, dont l’article 21 envisage de filtrer les contenus au niveau des FAI. Mesure sur laquelle le Contrôleur européen de la protection des données (CEPD) a émis un avis très critique quand à son impact “sur les droits fondamentaux à la vie privée et à la protection des données”.

Vendredi dernier, le Journal Officiel de l’Union européenne a publié trois textes issus du Paquet Télécom, adopté par le Parlement Européen le 24 novembre dernier. Soit un règlement (qui institue la création d’un nouvel Organe des régulateurs européens des communications électroniques) et deux directives relatives au secteur des communications électroniques. On y retrouve les articles liés à la neutralité du net, finalement adoptés, malgré de vives oppositions et mises en garde.

Pour rappel, la neutralité des réseaux, principe technique et philosophique fondateur d’Internet – dont la définition est parfois malmenée (1) – veut que tout contenu, tout service et toute application circulent sur le même réseau, à la même vitesse, sans restriction ni discrimination de la part des tuyaux (opérateurs et fournisseurs d’accès Internet) , quels que soient leur source, leur destination et leur objet.

Dans la première directive (2009/136/CE), l’article 28 stipule que « compte tenu de l’importance croissante des communications électroniques pour les consommateurs et les entreprises, les utilisateurs devraient, en tout état de cause, être pleinement informés de toute limitation imposée par le fournisseur de service et/ou de réseau quant à l’utilisation de services de communications électroniques. Ces informations devraient préciser, au choix du fournisseur, soit le type de contenu, d’application ou de service concerné, soit des applications ou services déterminés, soit les deux ».

En pratique, cela permet aux opérateurs de limiter la qualité de certains contenus, services et/ou applications à partir du moment où il en informe ses clients. Ce qui est déjà appliqué dans les offres mobile de certains opérateurs téléphoniques, notamment au regard de la Voix sur réseau IP (1). « Cela est en total contradiction avec l’essence d’Internet » réagissait la Quadrature du net lors de l’examen du texte. « Cela ouvre les portes à un « sous-Internet » où l’accès à la VoIP, au peer-to-peer, et parfois au streaming video et audio sont restreints. Et cela ne bénéficie ni aux utilisateurs, ni au développement d’Internet ».

L’article 29 poursuit dans le même sens. Il est dit que la directive «service universel» «  ne prescrit ni n’interdit les conditions imposées par les fournisseurs, conformément à la législation nationale, pour limiter l’accès des utilisateurs finaux aux services et applications et/ou leur utilisation, mais prévoit l’obligation de fournir des informations concernant ces conditions »..

De la seconde directive (2009/136/CE) on retiendra surtout le point 4.g de l’article 8. Lors de sa première lecture, il était rédigé ainsi : « en appliquant le principe selon lequel les utilisateurs finaux doivent pouvoir accéder à tout contenu licite et en diffuser, et utiliser toute application et/ou service licite de leur choix et en contribuant à cette fin à la promotion de contenus licites ». Dans la version adoptée, le mot « licites » a été supprimé, mais dans la foulée tout le sens et la portée de l’amendement ont été évacué. Les termes « doivent pouvoir » ayant été remplacé par « favorisant la capacité à ». Le texte final indique en effet : « en favorisant la capacité des utilisateurs finaux à accéder à l’information et à en diffuser, ainsi qu’à utiliser des applications et des services de leur choix.»

Les États membres doivent avoir transposé et publié la nouvelle réglementation en droit interne au plus tard le 25 mai 2011.

(1) Contrairement à Olivier Auber , on ne voit pas en quoi le nouveau système de recommandation de Twitter, hautement critiquable par ailleurs, porte atteinte à la neutralité du net.
(2) « L’Abonné s’interdit également l’utilisation des Newsgroups, du Peer to Peer et de la Voix sur IP » lit-on dans les conditions d’abonnement chez SFR.

—

» Article initialement publié sur The Internets

» Illustration par Camknows sur Flickr ]]> http://owni.fr/2009/12/22/neutralite-du-net-retour-sur-le-paquet-telecom/feed/ 3