Une proposition de loi LReM vient adapter le droit français à l’entrée en application du règlement européen obligeant les hébergeurs à retirer en une heure les contenus terroristes. Le texte offre de nouvelles compétences à l’Arcom, fruit de la fusion CSA Hadopi.
Le règlement européen du 29 avril 2021 est venu aiguiser la lutte contre la diffusion des contenus à caractère terroriste en ligne. Un corpus de règles uniformes, d’application directe dans tous les États membres.
En substance, ce véhicule introduit des « devoirs de vigilance raisonnables et proportionnés » aux hébergeurs qui proposent leurs prestations en Europe, peu importe donc leur lieu d’établissement dans le monde. Dans ses premières lignes, le texte précise les contenus à caractère terroriste concernés, en s’appuyant sur la (très longue) définition apportée par une directive de 2017 (article 3).
Il s'agit d'actes comme des atteintes à la vie, les prises d'otage mais aussi les destructions massives de systèmes informatiques... Des actes qui doivent être menés dans l'un des buts énumérés : « gravement intimider une population », « contraindre indûment des pouvoirs publics ou une organisation internationale à accomplir ou à s’abstenir d’accomplir un acte quelconque », ou encore « gravement déstabiliser ou détruire les structures politiques, constitutionnelles, économiques ou sociales fondamentales d’un pays ou d’une organisation internationale ».
De son côté, le règlement frappe les contenus incitatifs ou qui glorifient ces actes, et ceux qui sollicitent une personne pour les commettre. Il vise aussi la fourniture d’« instructions concernant la fabrication ou l’utilisation d’explosifs, d’armes à feu ou d’autres armes, ou de substances nocives ou dangereuses ».
Un retrait en une heure
Le règlement reconnait à chaque État membre le pouvoir d’émettre une injonction de retrait. Des injonctions très musclées puisque les hébergeurs devront retirer ces contenus ou en bloquer l’accès dans tous les États membres « dès que possible » et au plus tard dans le délai d’une heure à compter de la réception de l’injonction.
S’il y a évidemment des voies de recours, a posteriori, le retrait ou blocage sera obligatoire dans ce laps de temps très court. Une contrainte très lourde pour les petits hébergeurs, qui ne peuvent assurer un suivi H24, 7j/7, 365 jours par an.
Le texte ouvre quelques rares exceptions pouvant justifier un dépassement de ces 60 petites minutes. Elles tiennent à des motifs de force majeure ou à des impossibilités qui ne sont pas imputables à l’hébergeur. Autres hypothèses : en cas d’erreur manifeste dans l’injonction ou parce que celle-ci ne contient pas les informations obligatoires, comme la motivation de la demande de retrait ou l’adresse URL du contenu.
Des procédures spécifiques sont prévues s’agissant des injonctions de retrait transfrontières. Autre point à retenir, les contenus retirés devront être conservés durant 6 mois, à disposition des autorités. Des obligations de transparence sont également au menu.
Outils automatisés
Si les hébergeurs ne sont pas soumis à une obligation générale de surveillance ou de rechercher activement des faits, le règlement exige néanmoins des « mesures techniques », et leur demande d'« utiliser des outils automatisés s’ils estiment que cela est approprié et nécessaire pour lutter efficacement contre l’utilisation abusive de leurs services pour diffuser des contenus à caractère terroriste ».
Étant précisé que ces outils devront faire le tri parfois délicat entre les vrais contenus terroristes et ceux diffusés « à des fins éducatives, journalistiques, artistiques ou de recherche, ou à des fins de prévention ou de lutte contre le terrorisme », lesquels n’entrent pas ce champ... Les petits hébergeurs, qui ne peuvent se permettre d'avoir une vigie présente H24, devront en pratique laisser une grande place à ces traitements automatisés.
Le texte d’avril 2021 a renvoyé à chaque État membre le soin de définir les modalités d’application, s’agissant notamment de la désignation des autorités compétentes, sachant que l’entrée en application a été fixée au 7 juin 2022.
De nouvelles cordes pour l’ARCOM
En France, à l’Assemblée nationale, le groupe LREM a déposé une proposition de loi visant à adapter la législation actuelle à l’approche de ce terme.
Jusqu’à présent la législation en vigueur était fixée à l’article 6-1 de la loi sur la confiance dans l’économie numérique. L’article organise un blocage administratif des sites.
Imaginé d’abord à l’encontre la pédopornographie par la loi d'orientation et de programmation pour la performance de la sécurité intérieure (LOPPSI) de 2011, le dispositif a été étendu au terrorisme à l’occasion de la loi du 13 novembre 2014. Textes entrés en application seulement en 2015, après bien des retards.
Après une succession de réformes, le texte actuel prévoit en substance que l’OCLCTIC peut demander aux FAI et aux hébergeurs le retrait des contenus terroristes et pédophiles dans les 24 heures.
Ces mesures administratives sont décidées sans juge. Seul contrôle extérieur, la présence d’une personnalité qualifiée désignée aujourd’hui par la CNIL, et demain par l’Arcom. Un contrôle qui a donné lieu à un seul contentieux, lors d’une audience au tribunal administratif de Cergy-Pontoise relatée dans nos colonnes.
- Blocage administratif : bras de fer entre la personnalité qualifiée de la CNIL et l’Intérieur
- Blocage administratif : la personnalité qualifiée de la CNIL fait plier la police devant la justice
24 heures ramenées à 60 minutes
La proposition de loi LREM confie davantage encore de pouvoir à l’Arcom. Ce CSA recarrossé, la Hadopi dans son ventre, procédera par exemple à l’examen approfondi des injonctions de retrait transfrontières « afin de déterminer si elle viole gravement ou manifestement » le règlement ou les libertés et droits fondamentaux.
C’est encore l’Arcom qui sera compétente pour ausculter les « mesures spécifiques » mises en œuvre par les hébergeurs, comme les outils destinés à « identifier et retirer promptement » ou marquer les contenus terroristes, sachant que « lorsque les mesures spécifiques impliquent le recours à des mesures techniques, des garanties appropriées et efficaces, notamment au moyen d’une surveillance et d’une vérification humaines, sont prévues pour s’assurer de l’exactitude et éviter le retrait de matériel qui ne constitue pas un contenu à caractère terroriste ».
Et c’est toujours l’Arcom qui réceptionnera les notifications des hébergeurs non UE désignant en France un représentant légal, une autre obligation du règlement.
Des sanctions allant jusqu’à 4 % du C.A.
La méconnaissance du retrait en une heure d’un contenu terroriste sera sanctionnée d’un an d’emprisonnement et de 250 000 euros d’amende, amende portée à 4 % du chiffre d’affaires mondial si l’infraction est commise « de manière habituelle ».
Quand un contenu à caractère terroriste présente « une menace imminente pour la vie », l’hébergeur devra en informer immédiatement les autorités, du moins dès qu’il en aura connaissance. À défaut ? La proposition de loi LREM prévoit trois ans d’emprisonnement et 250 000 euros d’amende.
Plus globalement, l’Arcom sera chargée du respect de l’ensemble des conditions du règlement par les hébergeurs installés en France ou ayant dans le pays leur représentant. Et « en cas de non‑respect systématique ou persistant », l’intermédiaire pourra être mis en demeure de rectifier le tir.
S’il ne respecte pas cette injonction, la sanction pourra grimper à 4 % du chiffre d’affaires annuel mondial total de l’exercice précédent, sachant que ce montant dépendra de sa solidité financière, de la gravité des manquements, de l’historique des manquements, etc. Ces sanctions pourront être rendues publiques.
La date d'examen de la proposition de loi n'a pas encore été précisée.
Commentaires (35)
#1
Il faudrait arriver à les enlever avant qu’ils soient publiés pour limiter le risque au max.
#1.1
Comment ? Sur la plupart des plateformes, le contenu est publié instantanément. Donc il n’y a pas de délai de traitement permettant de faire des vérifications au préalable.
#2
Finalement la partie la plus dangereuse de la loi Avia originelle est passée…
Maintenant le gouvernement peut faire retirer n’importe quel contenu quel qu’en soit la raison, même s’il n’est absolument pas illégal, puisque les hébergeurs ne peuvent pas contester la décision directement. Et il faudra ensuite faire un procès pour annuler cette décision-là, avant que le contenu soit à nouveau supprimé si une autre demande est faite.
Et si un petit hébergeur gêne, on peut lui envoyer à 3 heures du matin une injonction de suppression, qu’il ne respectera pas, et lui coller une belle amende aux fesses, qu’il devra amener devant la justice afin que celle-ci soit annulée, entraînant évidemment des frais d’avocat etc.
Bref, une belle saloperie qui permets dans le cas le plus sombre au gouvernement de supprimer N’IMPORTE QUEL contenu qu’il estime gênant, puisque même en cas de contestation et si le contenu est réinstauré, une nouvelle injonction peut être faite immédiatement.
#3
“et au plus tard dans le délai d’une heure à compter de la réception de l’injonction.”.
J’ai envie de
: tu retires tes formulaires et adresse de contact et tu gardes uniquement la voie postale
#4
même si l’intention est plus que louable, ça sent encore encore le truc réfléchit dans les antichambres ministérielles, sans consultation avec les professionnels de la filiales.
Je ne vois pas comment ils vont faire, en terme d’organisation matériel ? c’est quoi le volume de publication concerné ?
#5
Tiens d’ailleurs je demande, vu que le conseil constitutionnel avait statué que ce système était contraire à notre chère Constitution, qu’en est-il du droit européen ? Est-ce que ce dernier prime sur la Constitution (ou équivalent) des états membres ? Ou est-ce qu’il faut un accord global à chaque fois qui respecte celle de tout le monde ?
#5.1
ce système était contraire à notre chère Constitution
qu’en est-il du droit européen ?
c’est ce qu’il se passe (déjà) en “Hongrie” et “Pologne” !
nos chers Dirigeants vont devoir se parjurer
s’ils veulent rester (à tout prix) dans ‘cette Europe, là’ !
#5.2
Se parjurer losqu’on affrontait Le Pen au second tour n’est pas un parjure. C’est le simple constat depuis 7 ans que ce Pays qu’on appellait France a basculé dans autre chose de plus sordide. Que des défendus de la première armée d’Europe suivent ne fait que valider l’idée qu’on peut parler de systèmes régressifs à défaut de répressifs ordinaires.
#6
Si ça contre-pète ça pète quand même, avec un H pour haltérophilie.
#7
Oui : le droit UE s’impose aux États-membres. À charge pour eux de modifier leurs Constitutions respectives si une décision de l’UE s’avère contraire aux droits nationaux, afin de se mettre en conformité (ce que la Pologne a contesté récemment et qui la place sous la menace de sanctions).
De fait, le Conseil constitutionnel voit ici sa main forcée et il ne pourra plus dire que telle mesure est inconstitutionnelle, puisque la Constitution devra être modifiée pour que ça ne le soit plus.
#8
La fin des chatons?
#9
La folie n’est elle pas de reproduire constamment la même cause en espérant un résultat différent ?
#9.1
Oui.
#10
Marrant, c’est exactement ce que je viens de dire dans les commentaires d’un autre article au sujet des lrem…
#11
Article 17 :
Puis un peu plus loin :
L’article 19 parle d’un point de contact désigné par l’hébergeur auprès de l’autorité.
#12
J’ai pas tout suivi mais comment les hébergeurs font ça techniquement ? Genre j’ai mon DNS chez Gandi et un compte cloud chez Scaleway chez qui j’ai une VM et du stockage publiant un site sur lequel il y a une page avec un contenu “terroriste”.
Comment ils bloquent juste la page en question sans couper toute la VM (ou les VM si le tout est redondé) et comment ils gardent le contenu 6 mois sachant que le stockage est probablement chiffré ?
Sachant que derrière je peux relancer une nouvelle VM avec une nouvelle IP (+ mise à jour du DNS) et les mêmes données en quelques secondes et en mettant à jour le DNS quand je me rends compte que mon site n’est plus accessible (et que tout ça peut-être automatisé).
Ou alors ils considèrent que l’hébergeur c’est moi ? Mais comme je suis une personne physique ce règlement ne s’applique pas…
#12.1
Prochain article, Jack Bo-heure et la malédiction Docker.
On se moque de la Chine mais petit à petit on s’en rapproche. La différence c’est que chez nous au lieu d’avoir un score par personne on met la responsabilité sur l’entreprise qui héberge/fait transiter du contenu.
Un jour où l’autre on aura un great firewall of Europa et les VPN étrangers seront bloqués, pareil pour les serveurs DNS DoH DoT ne respectant pas le filtrage.
Il a fallu combien de siècles pour qu’on censure le contenu de la Bible et du Coran en France ? Cette fois c’est sûr, ça ira plus vite.
#12.2
Pour le risque de recréation automatique du serveur d’hébergement ou celui de destruction de preuve, l’hébergeur peut suspendre ton compte puisqu’il y a rupture du contrat.
Dans les CGU de Scaleway, 8.1 :
Même chose chez OVHCloud.
Après, si les disques sont chiffrés, il y a effectivement peu de chances de pouvoir recouvrer le contenu. Donc j’imagine que ça sera évalué au cas par cas.
#12.3
OK du coup les grosses plateformes ont les contact pour qu’ils enlèvent un contenu spécifique et les petits on les ignorent et on contacte l’hébergeur pour leur faire fermer tout le site… du coup le
on s’en branle… (comme on l’a vu dans plein de procédures judiciaires où “on n’a pas réussi à identifier et contacter l’incriminé” (malgré que toutes les infos étaient genre sur la page “contact”))
Donc si je mets un commentaire terroriste sur lemonde.fr je peux pas appeler Google Cloud (leur hébergeur) pour les faire fermer ?
#12.4
Euh non, c’est l’autorité compétence (ici : l’Arcom) qui contacte le référent auprès de l’hébergeur pour notifier de la demande de retrait.
#12.5
Un pour tous, tous pour… tousse !
C’est quand même emblématique de légitimer dans les faits, par des procédures spéciales et couteuses, des propos qui jadis étaient tolérés à raison par de l’indifférence des autres pour l’un.
Ici c’est comme pour la covid : on t’enmerde dans le monde imaginaire mais tu es certain de te noyer sous un océan de e-haine encore plus ordinaire et indifférente si tu as le malheur d’espérer un droit réel et opposable.
Résultat : l’indifférence mollement ostracisante se poursuit dans le pseudo-verse et on traite comme des plaques de bagnole le quidam un peu éméché ou carrément anti-tout… lisons enfin que cette indifférence généralisée arrange bien les fast-empoisoneurs : la viande avariée est déjà cuite…
#13
Je vois, merci pour cet éclaircissement
#14
“détruire les structures politiques, constitutionnelles, économiques ou sociales fondamentales d’un pays ou d’une organisation internationale”
Au moins c’est officiel : l’UE est bien une terroriste en puissance. Alors c’est quand qu’on ferme les sites des partis politiques européistes, et ceux des députés et sénateurs godillots, à commencer bien entendu par LREM ?
#15
Wut ? Ces bouquins qui sont parsemés d’appels au meurtres et autres saletés qui devraient leur valoir au minimum un bandeau d’avertissement et une interdiction de vente aux mineurs ont été censurés ? Première nouvelle !
#16
Les religions c’est important voyons.
Tu insultes des milliards de gens en écrivant ca, dont des compatriotes parfaitement républicains.
Islamophobe et christianophobe.
#16.1
Pourqu’il y ait appel au meutre il faut un appelant !
La remarque initiale c’était la censure préventive. On y va doucement mais sûrement… et comme on court au même rythme que ce qu’on poursuit… la connerie institutionelle (en roue libre) peut donc durer jusqu’à épuisement du sujet technique ou de ses descendants.
La frontière est en fait vite mince entre la logique du faiseau d’indices et la réalité individuelle. Là on veut faire pareil mais sans dire qu’on n’en fera rien : les biais de confirmations sont un droit constitutionnel, malgré tout.
#17
#18
Il me semble que si le texte est rédigé de manière générique car on peux pas faire une loi visant un acteur économique en particulier, les législateurs à l’origine de ce genre de texte ne visent réellement (à mon avis) que ce que eux considèrent les “grandes” plateformes très populaires, actuelle ou à venir : Facebook, tiktok, instagram….
Même si une page web avec 3 visites par jour dont 2 bots est effectivement couverte, je pense que ce genre de texte n’a pas de sens - ils feront avec la procédure habituelle.
La vrai question c’est pour les sites un peu intermédiaires - typiquement les sites d’info un peu complotistes, ou pire, écolo, qui ont quand même une certaine audience, et c’est ce type de sites-là que ce genre de texte pourrais censurer en détournant le but premier (mais bon venant ce cette administration il n’y a rien à attendre de mieux)
Quelque part je trouve que ça fait aussi réfléchir au stockage et à la relative vulnérabilité de ces sites (j’irais pas jusqu’à parler d’un mal pour un bien, mais…) : Ca montre surtout qu’on a des gouvernements qui sont tout à fait prêt à utiliser la loi à tord et à travers pour ses propres intérêt (on est loin de Montesquieu) , mais c’est aussi à nous de fabriquer et diffuser les logiciels qui pourraient contrer cela.
A chaque fois que notre navigateur va sur une page, il en garde une copie dans son cache… Rien n’empêcherais de garder au chaud tous ces contenus et les structurer pour re-créer des copies multiples et distribuées de tout. On le fait pas simplement car jusqu’à aujourd’hui ce n’est jamais apparu comme une nécessité.
#19
La Pologne est condamnée par la CJUE pour une loi, pas pour une élément de sa constitution. Elle s’est cachée derrière pour ne pas avoir à abroger sa chambre disciplinaire.
La procédure sinon est effectivement de changer la constitution pur la rendre compatible.
J’ai hâte de voir le gouvernement réécrire la DDHC de 1789 (article 11) pour la rendre compatible avec la directive Avia. Ou pas.
#20
Œuf pas !
On a au moins deux fines stratèges… au delà de trois il faudra se demander qui a des dents. C’est un rituel, parait-il.
#21
Bah je ne fais pas partie du monde de la e-haine, les médias sociaux pratiquant la traite d’humains ne m’intéressent pas et je préfère leurs alternatives plus décentralisées et à échelle humaine.
#21.1
Mais alors l’arcom est décentralisable à terme… ?
Je veux bien lire qu’un amorti du torse permet de ne pas dire qu’on est ici dans un régime inutilement spécieux mais la solution ne passe pas non plus par une décentralisation (le droit étant contenu cela ne changera pas le contenant).
#22
Je ne comprends pas trop le lien avec l’Arcom. Les communautés sur Mastodon (et autre média social du même type) sont décentralisées mais peuvent toute dialoguer entre elles (sauf celles qui sont en autarcie dans leur coin) sur le Fediverse via des protocoles comme ActivityPub.
Dans les faits, ça ne change rien du point de vue de l’Arcom : ça reste un hébergeur sur qui pèse une responsabilité.
La différence est que ces instances sont à une taille plus humaine et dépourvues d’algorithmes magiques. Donc la modération est plus locale et variable selon l’instance concernée. Et globalement, la plupart communiquent sur les instances qu’elles bloquent (soit via des listes comme Fediblock, ou choisies unitairement).
#23
Le contenu est fortement partagé. Ça coince avec les 60 minutes il me semble.
Activity Pub pourrait donc apparaître comme fautif à défaut d’incriminer les modos… c’est ce qui est un peu spécial avec l’Arcom : on veut aussi intervenir sur les outils.
#24
Ca reviendrait à dire que HTTP est fautif aussi puisque ActivityPub n’est qu’un protocole. La suppression du contenu source est censé induire sa suppression sur les autres instances. A noter par contre qu’ActivityPub ne peut pas forcer cette suppression sur les serveurs distants, uniquement les notifier que celle-ci a eu lieu à la source.
(j’ai constaté tout de même sur le Github de Mastodon un bug remonté en 2018 sur ce point sans news depuis donc j’ignore si c’est toujours le cas)
Après, revoir le point que j’indique sur les capacités de blocage entre instances. Fediblock est une grosse source pour permettre à ceux qui le veulent de bloquer des instances qui seraient borderline et ainsi éviter la propagation d’un contenu répréhensible.