[MàJ] L’avis de la CNIL sur le blocage des sites sans juge publié au Journal officiel
Après celui de l'ARCEP...
Le 16 février 2015 à 07h20
6 min
Droit
Droit
Exclusif Next INpact. Nous avons pu nous procurer l’avis de la CNIL sur le décret relatif au blocage administratif des sites. Selon nos informations, cet avis pourrait être publié demain au Journal officiel. Tour d’horizon des principaux commentaires de la gardienne des données personnelles.
Le 6 février dernier, le gouvernement publiait le décret sur le blocage administratif des sites pédopornographiques, faisant l’apologie ou provocant au terrorisme (voir notre actualité). Avant de procéder à cette publication, l’Intérieur avait dû notifier le texte à la Commission européenne, récolter l’avis de l’ARCEP et celui de la CNIL. C'est cet avis que nous diffusons ci-dessous :
D'entrée, la CNIL revient sur l’économie du dispositif : l’Office central de lutte contre la criminalité liée aux technologies de l'information et de la communication (OCLCTIC), une autorité administrative, est désormais chargé de dresser une liste noire des sites pédopornographiques ou incitants/provocants au terrorisme. Faute de réaction des éditeurs et des hébergeurs, cette liste est notifiée aux fournisseurs d’accès qui doivent très rapidement empêcher l’accès aux sites par un blocage de type DNS. Pas une seule fois le juge n'intervient pour valider ou rejeter ce qui a été considéré comme illicite par l'Intérieur.
Les utilisateurs qui tenteront ensuite de visiter le site bloqué seront alors redirigés sur une page du ministère « indiquant pour chacun des deux cas de blocage les motifs de la mesure de protection et les voies de recours ». Ces opérations seront contrôlées par une personnalité désignée par la CNIL, chargée spécialement de surveiller l’édition et la mise à jour de la fameuse liste noire. En cas de désaccord, celle-ci peut saisir en bout de courses le Conseil d’État afin de faire réformer le bannissement d’un site Internet.
Qu’a dit l’autorité de contrôle des données personnelles au ministère de l’Intérieur, Bernard Cazeneuve ? Ses remarques visent plusieurs points du mécanisme.
Des moyens suffisants pour la personnalité chargée de surveiller le blocage
Elle demande d’abord de doter la personnalité qualifiée « de moyens spécifiques afin de lui permettre de remplir effectivement les missions qui lui sont confiées par la loi ». En clair, faute de « moyens humains, techniques et financiers » suffisants, cet acteur pourrait ne pas être en mesure de détecter d’éventuels faux positifs dans la liste noire. Dans son décret final, l’Intérieur s’est limité au minimum vital, sur le dos de la Commission : « la personnalité qualifiée dispose pour l'exercice de ses fonctions des services de la Commission nationale de l'informatique et des libertés ». Il prévoit malgré tout la possibilité pour la personnalité de faire appel à un interprète, sans que la question de la prise en charge des coûts soit éclaircie.
La CNIL remarque encore que le projet de décret ne prévoyait aucune précision sur les modalités d’habilitations des agents de l’OCLCTIC pouvant exiger le retrait des contenus. Ce gros oubli a été colmaté par le texte final : il est dit que « seuls les agents individuellement désignés et dûment habilités par le chef de l'office sont autorisés à mettre en œuvre la procédure prévue. »
La sécurisation, l’oubli des éditeurs et des hébergeurs
Un autre écueil concerne cette fois les modalités d’échange entre l’OCLCTIC et les FAI. La liste noire leur est adressée « selon un mode de transmission sécurisé, qui en garantit la confidentialité et l'intégrité » dit le décret. Dans l’avis de la CNIL, on apprend que les FAI seront notifiés par simple courrier électronique. Toutefois, au 15 janvier, date de l’avis, l’Intérieur était encore en quête de solutions pour garantir la fameuse « confidentialité et intégrité » de ces listes. Devant ce flou, la CNIL demande « à être informée des mesures effectivement mises en œuvre. »
Surtout, à l’instar du député Lionel Tardy, la CNIL remarque que le décret a oublié de prévoir « les modalités de transmissions des demandes de retrait aux hébergeurs et éditeurs concernés », alors que ceux-ci doivent être alertés avant tout, comme le veut la loi. Pareillement, rien n’est prévu pour qu’ils soient eux aussi astreints à bien préserver la confidentialité du signalement, tout en s’interdisant de le modifier. La CNIL regrette plus globalement l’absence de « garanties identiques pour les éditeurs et hébergeurs concernés s’agissant de la transmission des demandes et adresses précitées ».
Dans le texte qui lui avait été soumis, l’Intérieur avait également omis de prévoir les modalités précises de mise à jour de la liste noire, alors qu’un site peut disparaitre ou perdre son versant illicite. Finalement le décret publié au JO a opté, non pour une mise à jour quotidienne, comme ce fut esquissé, mais trimestrielle. La CNIL aurait souhaité surtout que cette mise à jour puisse intervenir à la demande de l’éditeur ou de l’hébergeur. Le texte final ne prévoit pas cette fenêtre.
Pas de recueil des IP sur la page de redirection
Quant à la page de redirection, l'avis souligne au feutre que « le cadre juridique actuel ne permet ni la collecte ni l’exploitation, par l’OCLCTIC, des données de connexion des internautes ». La Commission informe déjà que si une telle collecte était un jour envisagée, elle devrait lui être préalablement soumise aux fins de contrôle.
Fait notable encore, elle rappelle qu’une demande de retrait adressée à un éditeur ou un hébergeur constitue « une décision administrative défavorable » devant du coup être motivée. Le décret ne donne pas davantage de précision particulière. La commission voudrait aussi que « le motif précis de la demande de retrait, la copie des pages estimées illicites, les éléments de fait permettant de caractériser les infractions, etc. » soient adressés à la personnalité qualifiée. Au JO, le décret final prévoit en réponse que la liste noire est « mise à disposition » de la personnalité qualifiée, ainsi que « les éléments établissant la méconnaissance par les contenus des [sites] » des dispositions du Code pénal…
L’avis de la Commission a également débordé sur le déréférencement administratif, programmé dans un autre texte. D’ores et déjà, elle remarque « qu’aucune disposition spécifique de nature législative ou réglementaire ne permet de déterminer le périmètre exact du déréférencement auquel seront soumis (…) les moteurs de recherche, ainsi que les critères leur permettant de faire cesser le référencement. »
[MàJ] L’avis de la CNIL sur le blocage des sites sans juge publié au Journal officiel
-
Des moyens suffisants pour la personnalité chargée de surveiller le blocage
-
La sécurisation, l’oubli des éditeurs et des hébergeurs
-
Pas de recueil des IP sur la page de redirection
Commentaires (21)
Vous devez être abonné pour pouvoir commenter.
Déjà abonné ? Se connecter
Abonnez-vousLe 13/02/2015 à 22h21
En gros, l’Intérieur a fait le strict minimum pour que les coupures soient faites, mais en évitant soigneusement tous les garde-fous :
" />
Le 13/02/2015 à 22h27
j’ai l’impression que ça a été voté comme chez EA
les MAJ,DLC et autres joyeusetés c’est pour plus tard ( ou pas )
Pas de recueil des IP sur la page de redirection
vu que c’est du travail qui a l’air franchement bâclé , il n’est pas étonnant que ce soit remis a plus tard
c’est moi ou ils ont voulu constituer un fichier en douce ?
Le 14/02/2015 à 00h22
Le 14/02/2015 à 00h58
Le 14/02/2015 à 02h56
Le 14/02/2015 à 08h07
C’est vrai, mais rien que le fait qu’ils y aient pensé j’ai eu comme un reflexe " />
Le 14/02/2015 à 08h13
Avis de la CNIL qui arrive après la bataille, comme d’habitude…" />
Le 14/02/2015 à 09h02
La CNIL n’y est un peu pour rien… Les avis sur un décret ne peuvent être diffusés avant la publication du texte en question au JO ;)
Le 14/02/2015 à 09h08
Ah, je suis tellement habitué à râler sur la réactivité des organismes qui émettent des avis que…bref j’ai eu tort.
Le 14/02/2015 à 09h31
j’aime la notion de loi “cheque en blanc” à moitié vide, le contenu de la loi sera précisé/défini par décret (donc sans vote ni debat… oups comme à l’assemblée, déjà en fait), par le sinistre correspondant, une loi excluant le juge (car on sait bien que le juge n’a pas qualité à juger de ce qui est illicite ou en infraction avec la loi, c’est pas son boulot)
c’est la nouvelle d’une nombreuse liste de lois de ce style
Le 14/02/2015 à 10h24
À confirmer, mais si il n’y a pas de décret avec les modalités, ils ne peuvent pas notifier les hébergeurs.
Un peu comme le remboursement des FAI pour le boulot qu’ils font pour l’HADOPI : la loi prévoit qu’ils doivent être remboursés, mais vu qu’il n’y a pas de décret d’application, ce n’est pas fait…
Le 14/02/2015 à 11h13
Le 14/02/2015 à 11h47
L’avis de la CNIL ils n’en ont strictement rien à foutre, c’est un avis purement consultatif.
Quelqu’un est il encore assez naïf en 2015 pour croire qu’aucune collecte des ip ne sera faite ???
Bref…..
Le 14/02/2015 à 12h17
Le 14/02/2015 à 13h11
Le 14/02/2015 à 15h28
“Fait notable encore, elle rappelle qu’une demande de retrait adressée à un éditeur ou un hébergeur constitue « une décision administrative défavorable » devant du coup être motivée”
Ca effectivement c’est notable, car ça permet de contester dès ce stade et ça doit permettre d’éviter les demandes de retraits à la chaine sur une motivation standardisée (chose équivalente à une absence de motivation).
Reste à voir si les juridictions administratives vont faire la même interprétation que la CNIL, ce point n’est pas gagné d’avance hélas.
PS: Salut Marc, très jolie photo ;)
Le 14/02/2015 à 15h29
Ah tu a raison c’est illégal, ils ne vont surtout pas enfreindre la loi, en plus la CNIL (qui n’a aucun pouvoir) veille , je vois le mal partout sans doute.
plus sérieusement on a vue le résultat des avis (purement consultatif) de la CNIL a de nombreuse reprise (Stic,Judex,…), de plus certaines officines n’ont aucun besoin de passer par un juge pour organisé une collecte d’IP, on l’a vu a de nombreuse reprise dernièrement.
Complotise lol on me le sortait il y a quelques année , depuis Snowden est passé et a tout confirmé ( et pire encore).
Être soit disant “complotistes/alarmistes” m’a jusqu’a présent quasiment toujours donné raison sur la durée, c’est plus prudent que le “bisounoursisme”.
Perso je me définirai plutôt comme réaliste, mais bon….
Le 14/02/2015 à 15h39
Sur le plan du droit tu as raison, avec un bémol,“le juge” en l’espèce sera dans 99% des cas un membre du parquet et pas un Juge d’instruction, renvoyant directement à l’absence d’indépendante de notre ministère public.
Heureusement (ou malheureusement), le parquet (comme les Juges d’instruction) ont pour instruction de limiter les demandes d’identification en raison du coût facturé par les prestataires et dans l’attente de la plateforme dédiée (usine à gaz) qui devait faire ce boulot à moindre coût depuis des mois, mais qui n’est toujours pas opérationnelle aux dernières nouvelles.
Aussi et au moins financièrement, il est très improbable qu’une identification systématique des IP soit mise en œuvre.
Le 14/02/2015 à 15h50
" />
Merci d’avoir ajouté la précision.
Le 14/02/2015 à 16h02
Le 16/02/2015 à 11h03
Il est facile de supposer que le “secret des affaires” permettrait à des personnes malintentionnées de cacher au public des décisions immorales (voir illégales).
A l’inverse, il est un peu facile d’ignorer l’existence de la guerre économique qui fait rage et refuser d’avoir un arsenal juridique pour protéger les entreprises.