Après avoir entendu Mme Marie-France MAZARS, commissaire, en son rapport et M. Jean-Alexandre SILVY, commissaire du Gouvernement, en ses observations,
Emet l'avis suivant :
La commission a été saisie par le ministre de l'intérieur d'un projet de décret relatif au blocage des sites provoquant à des actes de terrorisme ou en faisant l'apologie et des sites diffusant des images et représentations de mineurs à caractère pédopornographique. Il s'agit du décret d'application de l'article 6-1 de la loi du 21 juin 2004 modifiée pour la confiance dans l'économie numérique (LCEN). Depuis la loi de 2011 susvisée, cet article prévoit un dispositif de blocage de l'accès aux sites pédopornographiques. Il prévoit en outre, dans sa rédaction issue de la loi du 13 novembre 2014 susvisée, un dispositif similaire s'agissant de l'accès aux contenus provoquant à des actes de terrorisme ou en faisant l'apologie.
Plus précisément, cet article permet à l'autorité administrative de demander aux hébergeurs et aux éditeurs de retirer les contenus relevant des articles 421-2-5 et 227-23 du code pénal et d'en informer les fournisseurs d'accès à internet (FAI). En l'absence de retrait de ces contenus dans un délai de vingt-quatre heures, l'autorité administrative a la possibilité de notifier aux FAI, moteurs de recherche et annuaires la liste des adresses électroniques des services de communication au public en ligne qu'elle estime contrevenir aux dispositions pénales précitées.
Les demandes de retrait et la liste de ces adresses électroniques sont également transmises à une personnalité qualifiée désignée au sein de la commission, laquelle devra s'assurer de la régularité de ces demandes ainsi que des conditions d'établissement, de mise à jour, de communication et d'utilisation de cette liste.
La commission, qui n'avait pas été consultée sur le projet de loi renforçant les dispositions relatives à la lutte contre le terrorisme, a été saisie pour avis de ce projet de décret qui, bien que n'intéressant pas directement la protection des données à caractère personnel, a pour objet de fixer les modalités d'application de l'article 6-1 de la LCEN, otamment le rôle confié à la personnalité qualifiée.
L'avis de la commission sur le projet de décret qui lui est soumis est donc rendu au titre de ses missions de conseil aux pouvoirs publics.
A titre liminaire, la commission appelle l'attention du Gouvernement sur l'importance de doter la personnalité qualifiée, garante de la proportionnalité du dispositif mis en œuvre, de moyens spécifiques afin de lui permettre de remplir effectivement les missions qui lui sont confiées par la loi. Ces moyens sont essentiels dès lors qu'il revient à cette personnalité de contrôler les demandes de retrait formulées par l'autorité administrative. Le contrôle ainsi prévu par la loi constitue en effet une garantie essentielle pour le respect des droits et libertés fondamentaux.
De manière générale, ce projet de décret précise :
- l'autorité administrative pouvant demander le retrait des contenus relevant des infractions précitées ;
- les modalités de transmission, par cette autorité, de la liste des adresses des sites litigieux aux FAI ainsi qu'à la personnalité qualifiée précitée ;
- les modalités de mise en œuvre de la mesure de blocage administratif ;
- les modalités de compensation, le cas échéant, des surcoûts justifiés résultant des obligations mises à la charge des opérateurs.
Sur la désignation de l'autorité administrative mentionnée à l'article 6-1 de la LCEN :
L'article 1er du projet de décret désigne l'office central de lutte contre la criminalité liée aux technologies de l'information et de la communication (OCLCTIC) comme autorité administrative ayant la possibilité de demander le retrait des contenus contrevenant aux articles 227-23 et 421-2-5 du code pénal.
Cet organisme, rattaché à la direction générale de la police nationale (DGPN), est compétent en matière d'infractions spécifiques à la criminalité liée aux technologies de l'information et de la communication, conformément aux missions qui lui sont confiées par le décret du 15 mai 2000 susvisé. Dès lors, cette désignation n'appelle pas d'observation particulière.
Néanmoins, la commission relève que le projet de décret n'apporte aucune précision quant aux modalités d'habilitations particulières des agents de l'OCLCTIC pouvant exiger le retrait desdits contenus. Elle prend acte de l'engagement du Gouvernement de modifier, à sa demande, l'article 1er du projet de décret afin de faire référence au principe de désignation individuelle et d'habilitation spécifique de ces agents, ce qui est de nature à mieux garantir la sécurité des données, notamment empêcher que des tiers non autorisés y aient accès.
Enfin, elle observe que le projet de décret ne prévoit pas la création de traitements de données à caractère personnel spécifiques permettant l'exercice des missions confiées à l'OCLCTIC par l'article 6-1 de la LCEN. La commission rappelle que si de tels traitements devaient être mis en œuvre, elle devrait en être préalablement saisie dans les conditions prévues par la loi du 6 janvier 1978 modifiée.
Sur les dispositions relatives à la liste des adresses électroniques des services de communication au public en ligne litigieux et à la mesure de blocage :
En premier lieu, s'agissant des modalités de transmission de la liste, l'article 2 du décret projeté précise les modalités de transmission, par l'OCLCTIC aux FAI et à la personnalité qualifiée, de la liste des adresses électroniques des services de communication au public en ligne qu'il estime contrevenir aux articles 227-23 et 421-2-5 du code pénal. Il énonce que cette transmission s'effectue selon un mode sécurisé, qui en garantit la confidentialité et l'intégrité.
La commission relève que cette formulation générale vise à garantir la sécurité des données transmises. Toutefois, les mesures techniques permettant de s'assurer effectivement de la confidentialité et de l'intégrité des informations transmises par l'OCLCTIC aux FAI et à la personnalité qualifiée ne sont pas encore définitivement établies. Si le Gouvernement a indiqué que la notification mentionnée au deuxième alinéa de l'article 6-1 de la LCEN s'effectuerait par courriel et que des mesures de sécurité étaient actuellement à l'étude afin de garantir la confidentialité et l'intégrité de ces listes, la commission demande à être rendue destinataire des mesures effectivement mises en œuvre. Elle rappelle que la personnalité qualifiée, compétente pour s'assurer de la régularité de la communication de cette liste, pourra notamment apprécier l'effectivité des mesures de sécurité retenues.
Elle observe par ailleurs que le projet de décret ne mentionne pas les modalités de transmission des demandes de retrait aux hébergeurs et éditeurs concernés. Or, la commission relève que l'article 6-1 de la LCEN subordonne, par principe, la notification du retrait des contenus litigieux aux FAI à une demande préalable auprès des hébergeurs et éditeurs.
L'article 3 du projet de décret prévoit également que les FAI ne peuvent modifier la liste ainsi transmise et qu'ils doivent préserver la confidentialité des données qui leur sont confiées.
La commission estime que le projet de décret devrait présenter des garanties identiques pour les éditeurs et hébergeurs concernés s'agissant de la transmission des demandes et adresses précitées.
Plus généralement, elle considère que ces modalités de transmission et les garanties qui y sont associées doivent faire l'objet d'un encadrement précis, par exemple au travers de dispositifs de nature conventionnelle entre l'OCLCTIC et l'ensemble des acteurs concernés.
En deuxième lieu, l'article 6-1 de la LCEN prévoit également que les moteurs de recherche et annuaires, après notification préalable de l'autorité administrative des adresses électroniques concernées par une mesure de blocage, doivent prendre toute mesure utile destinée à faire cesser le référencement du service de communication au public en ligne. A cet égard, la commission observe qu'aucune disposition spécifique de nature législative ou réglementaire ne permet de déterminer le périmètre exact du déréférencement auquel seront soumis, après notification préalable de l'OCLCTIC, les moteurs de recherche, ainsi que les critères leur permettant de faire cesser le référencement du service de communication au public en ligne. Elle prend acte qu'un décret spécifique lui sera soumis pour avis et rappelle que, dans la mesure où le déréférencement apparaît comme une mesure complémentaire dont l'objectif est de supprimer la visibilité des sites bloqués, il importe que le dispositif effectivement mis en œuvre soit précisément décrit dans ce projet de décret.
En troisième lieu, le projet de décret précise que les adresses électroniques qui figurent sur la liste comportent soit un nom de domaine (DNS), soit un nom d'hôte caractérisé par un nom de domaine précédé d'un nom de serveur, afin de s'adapter au contenu visé par la demande de retrait. La commission estime à cet égard que des précisions sur la méthode retenue devraient être apportées en fonction des prestataires visés (FAI, moteurs de recherche et annuaires). En tout état de cause, la commission rappelle que le choix effectué par l'OCLCTIC quant à la structure des adresses électroniques, qui détermine l'étendue des contenus bloqués, pourra faire l'objet d'un contrôle de proportionnalité par la personnalité qualifiée, conformément aux dispositions de l'article 6-1 de la LCEN.
En quatrième lieu, s'agissant de la mise à jour de la liste, l'article 2 du projet de décret énonce que, lorsque le service de communication contrevenant a disparu ou lorsque son contenu ne présente plus de caractère illicite, l'OCLCTIC retire de la liste les adresses électroniques correspondantes. Cette formulation ne permet pas de déterminer précisément les modalités de levée de la mesure de blocage administratif, ni si une procédure périodique de vérification de ces demandes a été envisagée. Si la commission prend acte de l'engagement du Gouvernement de préciser cet article, en prévoyant qu'il appartient à l'OCLCTIC de procéder à cette vérification, elle recommande que le projet de décret fixe expressément les modalités de mise à jour de cette liste, indépendamment de l'intervention de la personnalité qualifiée prévue par la loi, selon la périodicité envisagée par l'OCLCTIC (mise à jour quotidienne), et mentionne si cette mise à jour peut intervenir à la demande de l'éditeur ou de l'hébergeur du site concerné par cette mesure.
En cinquième lieu, s'agissant des modalités d'information des internautes des services de communication au public en ligne faisant l'objet d'une mesure de blocage, l'article 3 du projet de décret prévoit qu'ils seront dirigés vers une page d'information du ministère de l'intérieur indiquant, pour chacun des deux cas de blocage, les motifs de la mesure de protection et les voies de recours.
A cet égard, la commission relève que le cadre juridique actuel ne permet ni la collecte ni l'exploitation, par l'OCLCTIC, des données de connexion des internautes qui seraient redirigés vers la page d'information du ministère de l'intérieur. Elle rappelle que si des traitements de données à caractère personnel spécifiques étaient alimentés par ces données, ils devraient être soumis à l'examen préalable de la commission.
Enfin, la commission relève que les agents individuellement désignés et dûment habilités des services de l'Etat compétents en matière de lutte contre le terrorisme ou contre la pédopornographie, ainsi que la personnalité qualifiée, conservent un accès aux adresses électroniques figurant sur la liste transmise par l'OCLCTIC. Elle considère que cette formulation, qui serait susceptible de viser tant un accès en temps réel à la seule liste détenue par l'OCLCTIC qu'un accès aux services effectivement bloqués, mériterait d'être clarifiée.
Sur les prérogatives confiées à la personnalité qualifiée :
A titre général, si l'article 6-1 de la LCEN est clair sur le contenu du rapport que doit établir chaque année la personnalité qualifiée, la commission estime que le projet de décret ne précise pas suffisamment les modalités d'exercice des prérogatives confiées à cette personnalité.
La commission relève tout d'abord que l'article 3 du projet de décret qui fait référence à la personnalité qualifiée ne précise pas les modalités de publicité de sa désignation. Elle prend acte de l'engagement du Gouvernement à préciser cet article sur ce point.
Par ailleurs, elle rappelle que les demandes de retrait adressées aux hébergeurs et aux éditeurs constituent des décisions administratives défavorables qui doivent être motivées, conformément aux dispositions de la loi du 11 juillet 1979 susvisée. C'est pourquoi, s'il est expressément prévu que la personnalité qualifiée soit destinataire de la liste des adresses litigieuses, il conviendrait que le décret prévoie également l'obligation de lui transmettre le contenu des demandes de retrait effectuées par l'OCLCTIC (motif précis de la demande de retrait, copie des pages estimées illicites, éléments de fait permettant de caractériser les infractions, etc.), afin de lui permettre de réaliser un contrôle effectif sur ces demandes.
A fortiori, le projet de décret ne précise pas les moyens humains, techniques et financiers dont la personnalité qualifiée disposera pour s'assurer de la régularité des demandes de retrait et des conditions d'établissement, de mise à jour, de communication et d'utilisation de la liste transmise par l'OCLCTIC. La commission demande notamment que le décret prévoit la possibilité de recourir à un expert tel qu'un traducteur assermenté, qui serait soumis à une obligation stricte de confidentialité. De même, il apparaît nécessaire de préciser que cette personnalité qualifiée peut recourir aux services de la commission, qui sont eux-mêmes soumis au secret professionnel et qui devront dès lors disposer d'un statut particulier dans l'exercice de cette mission.
Dans la mesure où le projet de décret permet l'utilisation de la technique dite « Domaine Name System » (DNS), qui permet de refuser l'accès à de nombreux contenus, il importe que le contrôle prévu par la loi soit réel et effectif et que la personnalité qualifiée puisse effectivement s'assurer de la régularité des demandes qui lui sont transmises, conformément aux dispositions de l'article 6-1 de la LCEN.
Au regard de l'ensemble de ces éléments, la commission estime indispensable que les modalités d'exercice des pouvoirs de la personnalité qualifiée figurent dans le présent décret d'application.