Exclusif Next INpact : Fraîchement publié au Journal officiel, le décret relatif au déréférencement administratif des sites « terroristes » et pédopornographiques a fait l’objet de nombreux commentaires de la part de la Commission nationale de l’informatique et des libertés (CNIL). Nous publions aujourd’hui l’avis de l’institution, au travers duquel le gouvernement a été invité à revoir son dispositif, souvent en vain.

La dernière loi anti-terroriste n’a pas seulement doté les forces de l’ordre d’un pouvoir de décider du blocage de sites faisant l’apologie du terrorisme. Le législateur a également accepté (sur proposition du gouvernement) que les moteurs de recherche et « annuaires » Internet puissent être contraints, toujours sans qu’un quelconque juge n’intervienne, de déréférencer ces mêmes sites. Le tout a même été étendu aux sites pédopornographiques. L'idée ? Que les internautes ne puissent plus accéder aux pages litigieuses depuis un moteur tel que Google, de la même manière que les ayants droit tentent d'empêcher l'accès aux sites de piratage. 

Et c’est grâce à un décret paru le 5 mars dernier que le dispositif a pu prendre son envol. L’Office central de lutte contre la criminalité liée aux technologies de l'information et de la communication (OCLCTIC) est désormais habilité à transmettre les pages à faire disparaître des Google, Bing, Yahoo, etc. Les exploitants des moteurs de recherche et d’annuaires ont pour leur part 48 heures pour procéder au déréférencement, à charge pour eux de prendre « toute mesure utile » pour atteindre cet objectif (voir notre article).

Beaucoup de choses à clarifier selon la CNIL

Curieusement, ce décret a été publié au Journal officiel sans que l’avis émis à son égard par la CNIL ne l’accompagne. Le texte mentionne pourtant la délibération de l’institution, rendue le 12 février 2015. Nous avons pu l'obtenir auprès de l'institution en invoquant le droit de communication prévu par la loi « CADA » de 1978.

• Consulter l’avis de la CNIL (PDF)

Qu’a donc dit la gardienne des données personnelles ? Tout d’abord, la Commission s’inquiète de la vague délimitation des acteurs pouvant être contraints de procéder à un déréférencement administratif. Dans le sillon de la loi, le décret du 5 mars vise « les exploitants de moteurs de recherche ou d’annuaires ». L’institution relève suite à cette lecture que « ces exploitants ne sont cependant pas définis dans la loi, contrairement aux FAI, hébergeurs et éditeurs, dont une définition est donnée par la LCEN ». Le décret reste également muet à ce sujet. Potentiellement, l’OCLCTIC pourrait donc aller frapper à la porte de nombreux sites (tous ceux disposant d’un moteur de recherche, à l’image par exemple des sites de presse ?), d’autant que la notion d’annuaire paraît aujourd’hui quelque peu périmée...

D'une manière plus générale, la CNIL laisse entrevoir son agacement face à un gouvernement décidément bien discret. L’autorité administrative regrette par exemple « que le dispositif effectivement mis en œuvre ne soit pas précisément décrit dans le projet de décret et ne lui ait pas été présenté ». Ambiance. L’avis insiste pourtant sur « l’importance de pouvoir déterminer le périmètre exact du déréférencement auquel seront soumis les exploitants de moteurs de recherche ou d’annuaires, ainsi que les critères leur permettant de faire cesser le référencement des services de communication au public en ligne ».

Un gouvernement peu coopératif

Les remarques de la CNIL ne sont guère plus reluisantes s’agissant des dispositions relatives au processus « post-déréférencement ». Outre les missions dévolues à la personnalité qualifiée chargée de contrôler les actions de l’OCLCTIC, il a été prévu via le décret d’application que les forces de l’ordre procèdent à une mise à jour de la liste des adresses déréférencées. Les policiers et gendarmes de l’Office sont ainsi tenus de vérifier « au moins chaque trimestre que les adresses électroniques notifiées ont toujours un contenu présentant un caractère illicite ». Si tel n’est pas le cas, l’institution doit avertir les moteurs et annuaires afin que ceux-ci rétablissent « par tout moyen approprié » le référencement des pages en question dans un délai de 48 heures.

Pour la Commission, les termes choisis par l’exécutif ne permettent cependant « pas de déterminer précisément les modalités de levée de la mesure de déréférencement ». À ses yeux, cette formulation aurait mérité « d’être clarifiée ».

On apprend au passage que le gouvernement s’est engagé à « procéder à un réexamen de cette périodicité, lequel fera notamment suite à l’établissement d’un premier bilan de la mesure de déréférencement ». En clair, ce délai pourrait être amené à évoluer prochainement – soit à la hausse, soit à la baisse – en fonction des premiers retours du terrain.

Des recommandations restées lettre morte

La CNIL avait ainsi demandé au gouvernement de revoir son projet de décret, afin d’y ajouter de nombreuses précisions :

• Que la personnalité qualifiée soit « informée précisément » par l’OCLCTIC des motifs justifiant le déréférencement d’un site (ainsi que des mesures prises par les moteurs et annuaires concernés) et non pas de la seule « liste noire » des sites concernés.

• Que des conventions soient passées avec les exploitants de moteurs de recherche et d’annuaires, afin que ceux-ci sachent comment faire pour demander par exemple l’arrêt d’un déréférencement.

• Que la vérification des URL déréférencées puisse être réclamée par « la personnalité qualifiée ou suite à une requête des éditeurs ou hébergeurs des contenus en cause ».

Aucune de ces préconisations n’a véritablement été retenue dans le décret finalement publié au Journal officiel il y a maintenant une dizaine de jours. Le seul point d’inflexion concerne la première de ces recommandations, puisqu’il est prévu que l’OCLCTIC « met à la disposition de la personnalité qualifiée les demandes de retrait adressées aux hébergeurs et aux éditeurs ainsi que les éléments établissant la méconnaissance par les contenus des services de communication au public en ligne des articles du Code pénal [relatif à la pédopornographie et à l’apologie du terrorisme] ». Alors que la CNIL prônait la communication directe et systématique de ces éléments, ceux-ci seront simplement mis à la disposition de la personnalité qualifiée. Une nuance lexicale qui pourrait engendrer des retards dans le traitement, et donc repousser d'autant un contrôle utile sur les éléments justifiant le déréférencement.

Le gouvernement n’a par ailleurs pas modifié son texte pour prendre en considération les demandes de la CNIL s’agissant justement de la fameuse personnalité qualifiée, désignée pour mémoire en son sein (en l’occurrence le magistrat Alexandre Linden). La Commission réclamait pourtant que l’intéressé dispose explicitement « de moyens lui permettant d’assurer un contrôle réel et effectif de la régularité et des conditions d’établissement, de mise à jour, de communication et d’utilisation de l’ensemble des demandes qui lui sont transmises ».

Le décret finalement publié fait simplement référence à celui sur le blocage administratif, lequel prévoit vaguement que la personnalité qualifiée peut bénéficier d’un interprète et « des services » de la CNIL. Pour rappel, Alexandre Linden est habilité à saisir en bout de course le Conseil d’État afin de faire annuler le déréférencement d’un site Internet, en cas de désaccord avec l’OCLCTIC.