Le document du Conseil d'État expose les résultats des travaux menés pendant une année, à la demande du Premier ministre, par les trois groupes constituant la mission : groupe protection de l'individu, groupe commerce électronique, groupe propriété intellectuelle. Plusieurs auditions ont été conduites, en France et à l'étranger. Iris a été auditionnée au titre des associations, et le rapport, support de notre audition, est disponible.

Le rapport du Conseil d'État couvre ainsi la plupart des aspects d'Internet, rappelant les textes de loi français et européens pertinents dans le domaine, et analysant leur application possible, tout en mettant l'accent sur les aménagements nécessaires, soit pour mettre en cohérence la loi avec l'évolution de la situation, soit dans le cadre de propositions et recommandations au gouvernement. En ce sens, le rapport du Conseil d'État constitue un précieux document de référence et de travail.
Il s'agit en outre du premier rapport public élaboré par une institution, dont le rôle est précisément le conseil et les recommandations au gouvernement, notamment du point de vue juridique. L'autre rôle institutionnel du Conseil d'État étant d'être la plus haute Cour administrative du pays, il est clair que ce document est d'une importance déterminante pour l'avenir d'Internet en France, mais aussi aux niveaux européen et international.
Cette raison, ajoutée au fait qu'Iris s'est beaucoup investie dans le suivi de ces travaux, justifie de notre part le commentaire approfondi des analyses et propositions du Conseil d'État, que nous publions dans ce numéro spécial de la lettre électronique d'Iris.

Si l'on devait résumer notre sentiment à la lecture du rapport du Conseil d'État, nous dirions qu'il montre la connaissance parfaite du fonctionnement et des enjeux d'Internet dont font preuve ses rédacteurs. Il n'est donc nullement question de mettre certaines analyses et recommandations au compte de l'ignorance de certains aspects d'Internet, comme cela a pu être le cas - avec raison - pour certains documents ou actions proposés par le passé et depuis près de trois ans maintenant, par d'autres acteurs, qu'ils soient institutionnels, associatifs, commerciaux ou individuels.
Iris soutient donc certaines des analyses et recommandation du rapport - par exemple sur les questions de noms de domaines ou de cryptographie -, mais en conteste d'autres - par exemple à propos de contrôle des contenus ou de « convergence » des services.

Nos positions sont politiques : il s'agit bien d'organisation de la société, et de vivre ensemble. Tout le monde ne partage pas forcément ces positions. Certaines de nos positions ont été entendues, d'autres pas.
Nous considérons par conséquent la publication de ce rapport du Conseil d'État comme une première étape, et la publication des commentaires d'Iris comme une contribution au débat national qui devrait s'ensuivre, débat par ailleurs souhaité par le Conseil d'État, dans sa grande sagesse...

Le rapport du Conseil d'État traite de la plupart des aspects d'Internet, notamment du point de vue des aménagements nécessaires de l'arsenal juridique.
L'une des conclusions principales de cette analyse juridique est de définitivement balayer le mythe du « vide juridique » qui, entretenu par différents intérêts depuis trois ans, a longtemps fait du tort à Internet en France. Les efforts de mobilisation contre ce mythe, menés par de nombreux acteurs d'Internet, notamment associatifs, reçoivent ainsi un appui définitif et sans doute décisif : « l'ensemble de la législation existante s'applique aux acteurs d'Internet », peut-on lire en page 14 du rapport, et cette phrase résume les conclusions spécifiques à l'examen des différents domaines couverts par le rapport.

D'autres avancées sont à saluer parmi les recommandations du rapport. Il en est ainsi du chapitre consacré aux noms de domaine et au droit des marques, qui conteste très vigoureusement la main-mise tout à fait injustifiée de l'AFNIC (anciennement NIC-France) sur l'octroi des noms de domaine dans le domaine de premier niveau « .fr ». Qu'une seule structure ait le monopole de cette activité en France est nécessaire et souhaitable, pour en assurer la cohérence. Mais que cette structure foule au pied les droits des utilisateurs, dans le seul intérêt de ses membres sociétés commerciales, n'est pas admissible, et le rapport est très clair à ce sujet : « il faut permettre l'enregistrement du nom de domaine en ligne et sans délai [...]. Il ne paraît par ailleurs pas justifié d'exiger que toute demande [...] soit présentée obligatoirement par l'intermédiaire d'un prestataire technique inscrit auprès de l'AFNIC » (page 124). Une association comme Iris est d'autre part très sensible aux recommandations consistant à assouplir la procédure de l'AFNIC pour l'enregistrement, et à proposer un ou plusieurs sous-domaines libres, pour des sites ne correspondant pas forcément à une marque déposée (page 124). Ce chapitre du rapport comprend également un certain nombre d'analyses et propositions relatives à la polémique entre les propositions américaine et européenne, que nous jugeons dans l'ensemble plutôt raisonnables et intéressantes, même si elles nécessitent sans doute plus de discussions.

Malgré certaines recommandations importantes (comme de limiter la responsabilité en cascade à l'activité éditoriale, et de préciser la fonction d'éditeur de contenus), à saluer d'autant plus que nous les avons textuellement demandées au cours de notre audition, la partie consacrée au contrôle des contenus (« lutter contre les contenus et comportement illicites ») semble presque dénoter par rapport au reste du document, de même que celle sur la « convergence » des infrastructures et des services. Alors que, même pour ce qui concerne la cryptographie - sujet sensible en France s'il en est -, le Conseil d'État a su montrer une volonté d'ouverture en reconnaissant des revendications portées par de nombreux acteurs, voilà que, de « régulation » en « autorégulation », on nous invente une « corégulation », et l'organisme qui va avec, dont la particularité est de réunir les inconvénients des deux systèmes ! Nous reviendrons sur la contradiction qui consiste à proposer des modalités de fonctionnement pour cet organisme, qui ressemblent à s'y méprendre, pour certains aspects, à celles du « Conseil de l'Internet », copieusement dénoncées quelques pages auparavant...

Une autre particularité de l'organisme proposé est qu'il serait de droit privé, mais financé (généreusement) essentiellement sur fonds publics. Curieuse proposition, venant du Conseil d'État... Ces concessions faites aux sociétés commerciales semblent présider à l'analyse contestable présentée dans la dernière partie du rapport, portant sur la « convergence » des infrastructures et des services, fondée sur le fait que « on ne constate pas encore de grands mouvements de fusions ou acquisitions qui donneraient naissance à des géants de l'informatique, de l'audiovisuel et des télécommunications ». Le Conseil d'État devrait lire plus souvent les rubriques économiques et financières de la presse, voire les journaux spécialisés...
La partie du rapport sur le contrôle des contenus est plus spécifiquement détaillée dans la rubrique concernée de cette lettre.

Personne n'est parfait, c'est bien connu, pas même les rédacteurs du rapport, qui ont cédé à la coquetterie en voulant définir un « grand concept ». Or donc, dans un accès de lyrisme, les rédacteurs se sont pris à rêver de « civilité mondiale » et de « personne virtuelle ». C'est un tort, car ce genre de trouvaille est pain bénit pour les amateurs de sarcasmes, et « LES IRIS » ne boude pas son plaisir...

Mais on ne rit pas très longtemps, car parler de « civilité » a un sens, pour qui sait ce que parler veut dire. Il n'est pas anodin de vouloir ériger une « civilité » en lieu et place de la citoyenneté, car c'est bien de cela qu'il s'agit, de même que certains nous rebattent les oreilles d'« équité », quand il doit être question d'égalité. Le citoyen a des droits, reconnus par les textes nationaux et internationaux, quand le civil n'est qu'un quidam. Le citoyen s'oppose au sujet, alors que le civil se détermine par opposition au militaire ou au religieux. Le citoyen s'identifie par rapport à son appartenance à la cité, et sa participation à la vie de la cité. Le citoyen s'est déjà vu réduire au rang de national, par rapport à sa définition par la Constitution de 1793 : veut-on à présent n'en faire qu'un civil ?

Si l'on comprend que cette trouvaille malheureuse peut s'expliquer par une sorte de « déformation professionnelle et culturelle » de la part des rédacteurs du rapport, qui ont sans doute vu dans le terme « civil » l'acception juridique (s'opposant au terme « pénal »), plutôt que l'acception bien-pensante (observation des convenances et des bonnes manières) ou l'acception néolibérale (un simple consommateur, voire plus précisément une « ménagère de moins de cinquante ans ») de ceux qui justement parlent d'« équité », il n'en reste pas moins que la plus grande prudence devrait s'imposer, pour éviter de favoriser, par un glissement sémantique, une régression des droits des citoyens.

Le même danger est porté par la notion de « personne virtuelle », que le Conseil d'État propose de mieux identifier (la notion est en effet pour le moins floue). Le Conseil d'État est très prudent, à raison, vis-à-vis de la notion de « biens virtuels », proposée par les États-Unis (cf. chapitre sur la fiscalité). Il conviendrait de considérer avec autant, sinon plus, de méfiance, une notion de « personne virtuelle » : une « personne virtuelle » garde-t-elle les mêmes droits et les mêmes devoirs qu'une personne réelle ?

Conscient de la nécessité d'identifier un régime probant pour les documents électroniques, de plus en plus utilisés, le Conseil d'État propose au chapitre deux, deuxième partie, un certain nombre d'aménagements du cadre légal pour la reconnaissance de la valeur légale d'un document électronique. La proposition tient compte du projet de directive européenne sur la signature électronique. Au-delà de l'analyse, c'est tout un système de mise en place de tiers certificateurs qui est proposé. Les organismes de certification ne devraient pas, pour le Conseil d'État, obéir à un système de licence obligatoire, sauf dans le cas où la certification a des effets juridiques (accréditation nécessaire). Ces propositions constituent certes un assouplissement, et sont en faveur d'une meilleure reconnaissance des documents électroniques. Toutefois, ce chapitre est situé dans la partie du rapport traitant de protection des consommateurs, et surtout de favorisation du commerce électronique. Elle aurait gagné à figurer dans la première partie, traitant de la protection des données personnelles : en effet, si la profession de tiers certificateurs est libre, alors il est nécessaire de l'encadrer strictement du point de vue de la sécurité des données conservées, et de l'obligation de secret de celui qui l'exerce, les données certifiées étant dans la plupart des cas de l'ordre des données personnelles. Il n'est pas précisé à ce sujet dans le rapport si un organisme comme la CNIL sera compétent pour garantir la protection des données personnelles ainsi manipulées. La première partie du rapport, qui s'achève sur l'évolution souhaitée du rôle de la CNIL (page 48), faisant référence aux travaux de la mission Braibant, ne laisse pas beaucoup de place à l'optimisme : il semble assez clair que la préférence est donnée au développement du commerce électronique, et à une vision économique libérale, sur la nécessaire protection des données personnelles et de la vie privée.

Nous le soulignions déjà dans le communiqué de presse d'Iris accompagnant l'envoi de la version française de la déclaration des membres de GILC sur l'accord de Wassenaar (cf. l'une des brèves de ce numéro) : la France est l'un des rares pays au monde dans lequel le libre usage de la cryptographie forte est interdit. Elle est en outre le seul pays au monde à avoir mis en oeuvre un système de tiers de séquestre. Cette position singulière devient de plus en plus difficilement compatible avec son appartenance à l'Union européenne, et son statut international. C'est ce que reconnaît le Conseil d'État au chapitre trois de la deuxième partie de son rapport. Le texte n'exclut d'ailleurs pas qu'à terme, et à défaut d'une telle compatibilité, « il faudra se borner à exiger que les moyens de cryptologie utilisés en France permettent le recouvrement des clés à l'initiative de l'émetteur ou du destinataire du message, qui sera alors tenu de les remettre lui-même à la justice ou aux services de sécurité [...] ». La plus haute Cour administrative du pays met ainsi l'accent sur la contradiction française, déjà analysée dans le rapport d'Iris au Conseil d'État (annexe 7).

Tout irait donc pour le mieux dans le meilleur des mondes possibles ? Eh bien non, il ne faut pas rêver : dans le droit commun qui s'applique, il y a la notion de complicité. Nous le reconnaissons bien naturellement, ayant d'ailleurs écrit que « pour autant que l'information est émise par une tierce partie, sans collusion avérée avec l'intermédiaire, cet intermédiaire, founisseur d'accès, de service, ou d'hébergement ne doit pas pouvoir être déclaré responsable ou coresponsable des infractions commises [...] » (section I). Nous entendons bien que la « collusion avérée » ressort de l'appréciation a posteriori et par un juge des circonstances. Ce n'est pas l'avis des rédacteurs du Conseil d'État, pour qui apparemment la « connaissance » de l'infraction suffit, et le non accomplissement des « diligences normales » pour faire cesser l'infraction est déterminant. Il n'aura sans doute pas échappé au Conseil d'État qu'il faut d'une part pouvoir apprécier le fait en tant qu'infraction, ce qui est particulièrement délicat lorsqu'il s'agit de l'expression d'une opinion, et difficile dans tous les cas puisque cela demande une connaissance de toute la législation existante, en matière civile comme en matière pénale, sans oublier tous les autres codes, et d'autre part préciser ce qu'est une « diligence normale », même si on prend la précaution d'utiliser des guillemets pour en parler. Que suggère donc le Conseil d'État pour remédier à ces quelques difficultés passagères ? On vous le donne en mille ! Mais vous l'avez déjà deviné, le Conseil d'État suggère que cette appréciation, et la recommandation de « diligenter normalement » soient assumées par un organisme de corégulation ! Voilà en effet une grande idée, qui plus est d'une nouveauté renversante... (cf. infra).

Il est bien évident que lorsque l'on réclame que les droits du citoyen soient respectés, on entend bien que celui-ci ne fuit pas l'accomplissement de ses devoirs. La question est bien entendu d'identifier l'auteur de l'infraction. Nous écrivions à ce sujet : « en revanche, le fournisseur d'accès doit répondre à des demandes d'information formulées par l'autorité judiciaire », le « en revanche » venant en contre-partie de la phrase précédente : « obliger les fournisseurs d'accès à la coopération avec la police reviendrait à les inciter à la délation [...] ce serait une énorme régression pour la France : à titre d'exemple, les hôteliers ne sont plus tenus de faire remplir des fiches de police par leurs clients depuis 1974 » (section VI). La dignité rendue aux hôteliers il y a 20 ans n'est pas reconnue aux intermédiaires techniques par le Conseil d'État, qui préconise de les transformer en auxiliaires de police (page 189), avec conservation des journaux de connexion pendant un an au moins : si aucune précaution n'est prévue, notamment par un encadrement très strict de ces données et de leur protection, une telle obligation pourrait mener à des détournements graves, et pas seulement de la part des autorités policières, comme nous le faisons remarquer dans notre rapport (section II). Autre solution proposée, l'obligation de faire figurer sur tout site l'identification de l'éditeur de contenus et ses coordonnées : ignore-t-on, après en avoir largement discuté les dangers dans d'autres chapitres, les conséquences possibles sur la protection de la vie privée et des données personnelles d'une telle obligation ? Là encore, il s'impose de savoir raison garder, et de prévoir des encadrements stricts de tels procédés.

Malgré les aspects mentionnés ci-dessus, on ne peut qu'apprécier la recommandation de suppression de la déclaration obligatoire de tout site auprès du procureur de la République (page 189), dont nous avons relevé l'absurdité (section I), ainsi qu'une grande partie des propositions pour augmenter la compétence et les pouvoirs du juge, et des modifications à apporter à la procédure pénale (pages 189 à 203), dont nous avons traité dans notre rapport (section II). Enfin, il faut saluer les fermes recommandations en faveur de la coopération internationale, en matière policière et judiciaire.