Chiffres en forte hausse

Selon la CNIL  la hausse des demandes de retrait de contenus adressées par la police aux éditeurs et hébergeurs web, s’est élevée à + 1 270 % en 2017.  À 93 % ce sont des contenus à caractère terroriste qui étaient ciblés, le reste concernant la pédopornographie (environ 20 % des contenus auraient été retirés.)   Entre 2012 et 2017, le nombre de décisions de conformité est passé de 2 080 à 4 500, celui des plaintes de 6 000 (9 700 en incluant le droit d’accès indirect) à 8 360 (12 400).  La CNIL a également dû assumer de nouvelles missions qui lui ont été confiées par le législateur, dont le contrôle de la vidéoprotection ou celui du blocage administratif des sites.

Nouvelle stratégie de la CNIL

Face à cette évolution, la CNIL a opéré une mue stratégique, passant d’une approche centrée sur la gestion des formalités préalables à une logique d’accompagnement des opérateurs et des citoyens et de contrôle a posteriori. Parallèlement, elle a renforcé son dispositif de protection et d’information des opérateurs et du grand public sur leurs droits, leurs obligations et les sanctions prévues par le nouveau règlement général de protection des données mis en place pour faire face aux enjeux de l’ère numérique. Selon le Gouvernement, ces évolutions ont été accompagnées par un renforcement régulier des moyens humains et matériels mis à disposition de la CNIL par le Gouvernement. Le plafond d’emplois autorisés de la CNIL au sein du programme budgétaire 308 « Protection des droits et libertés », est ainsi passé de 153 ETPT en loi de finances initiale pour 2011 à 199 ETPT en 2018, soit une augmentation de 30 %. Cet effort continu, malgré un contexte général de maîtrise des finances publiques, s’est accompagné fin 2016 par le regroupement des agents de la CNIL sur un site unique, entièrement rénové, offrant des conditions de travail de grande qualité au sein de l’ensemble immobilier Segur-Fontenoy. Ce regroupement avec les services du Premier ministre et ceux d’autres autorités administratives indépendantes a en outre permis une mutualisation des fonctions support permettant un redéploiement des ressources humaines de la CNIL vers ses missions prioritaires. Toujours selon le Gouvernement, cet effort se poursuivra en 2019 afin d’accompagner la mise en place du nouveau règlement général sur la protection des données (RGPD), pour lequel 7 postes ont été créés au cours des deux dernières années. Le projet de loi de finances pour 2019 intègre déjà la création de 15 postes pour la CNIL.

Le cadre juridique applicable

La loi n° 2014-1353 du 13 novembre 2014 a modifié le régime juridique encadrant les activités des « prestataires techniques », au sens de la loi n° 2004-575 du 21 juin 2004 modifiée pour la confiance dans l’économie numérique (LCEN), et a créé une nouvelle mesure administrative de contrôle en matière de services de communication électronique. L’article 12 de la loi du 13 novembre 2014 a modifié les dispositions de l’article 6-I-7° de la LCEN en prévoyant que les hébergeurs et fournisseurs d’accès à Internet (FAI) concourent également à la lutte contre la provocation à la commission d’actes de terrorisme et leur apologie. Ce même article 12 a en outre créé un nouvel article 6-1 au sein de la LCEN, instaurant un nouveau dispositif de blocage administratif de sites internet.

Plus précisément, ces dispositions permettent à l’autorité administrative :

– de demander aux éditeurs et hébergeurs de retirer les contenus qu’elle estime contrevenir aux articles 421-2-5 (provocation à des actes de terrorisme et apologie de tels actes) et 227-23 (infractions liées à la pédopornographie) du code pénal ;

– en l’absence de retrait de ces contenus dans un délai de vingt quatre heures ou directement, sans demande préalable de retrait auprès des éditeurs, lorsque ces derniers n’ont pas mis à disposition du public les informations permettant de les contacter, de notifier aux FAI la liste des adresses électroniques des services de communication au public diffusant ces contenus, qui doivent alors « empêcher sans délai l’accès à ces adresses »;

– de notifier cette même liste aux moteurs de recherche ou aux annuaires, lesquels prennent « toute mesure utile destinée à faire cesser le référencement du service de communication au public en ligne ».

De manière générale, cette mesure de blocage administratif doit permettre d’associer directement les prestataires techniques dans la lutte contre le terrorisme et la pédopornographie et de bloquer des sites ne faisant pas l’objet d’investigations judiciaires. L’article 6-1 de la LCEN prévoit enfin que les modalités d’application de ces dispositions sont précisées par décret. Deux décrets d’application, du 5 février 2015 et du 4 mars 2015, ont fixé les modalités de mise en œuvre du dispositif. Les demandes sont notamment issues de signalements effectués par les internautes sur la Plateforme d’harmonisation, d’analyse, de recoupement et d’orientation des signalements (PHAROS).

En vertu de l’article 4 du décret du 5 février 2015 et de l’article 4 du décret du 4 mars 2015, l’OCLCTIC doit opérer, au moins chaque trimestre, une vérification des listes d’adresses bloquées et déréférencées pour s’assurer que le service de communication n’a pas disparu et que son contenu présente toujours un caractère illicite. En vertu du dernier alinéa de l’article 5 du premier décret, l’OCLCTIC « met à la disposition de la personnalité qualifiée les demandes de retrait adressées aux hébergeurs et aux éditeurs ainsi que les éléments établissant la méconnaissance par les contenus des services de communication au public en ligne des articles 227-23 et 421-2-5 du code pénal ». Le rôle de la personnalité qualifiée Une personnalité qualifiée, désignée en son sein par la Commission nationale de l’informatique et des libertés (CNIL), a pour mission de contrôler le bien-fondé des demandes de retrait, de blocage et de déréférencement. En cas d’irrégularité, cette personnalité peut recommander à l’autorité administrative d’y mettre fin et, à défaut de suivi de cette recommandation, saisir la juridiction administrative compétente en référé ou sur requête.

Application de la Recommandation UE 2018/334 du 1er mars 2018

Cette recommandation recense plusieurs mesures destinées à endiguer efficacement le téléchargement et le partage de propagande terroriste en ligne. Au nombre de ces mesures, on peut citer :

– l’interdiction d’héberger du contenu à caractère terroriste : les entreprises devraient explicitement indiquer dans leurs conditions d’utilisation qu’elles n’hébergeront aucun contenu à caractère terroriste ;

– un système de signalement amélioré : des mécanismes spéciaux de signalement et de suivi des signalements par les autorités compétentes, ainsi que par l’unité de signalement des contenus sur internet au sein d’Europol, devraient être institués parallèlement à des procédures accélérées en vue de la suppression d’un contenu dans l’heure qui suit son signalement. Dans le même temps, les États membres doivent veiller à disposer des capacités et ressources nécessaires pour détecter, identifier et signaler le contenu à caractère terroriste aux plateformes internet ;

– la règle de la suppression du contenu dans l’heure suivant le signalement : étant donné qu’un contenu à caractère terroriste est particulièrement préjudiciable dans les premières heures de sa mise en ligne, les entreprises devraient, en règle générale, supprimer un tel contenu dans l’heure qui suit son signalement par les autorités répressives ou Europol ;  une détection proactive plus rapide et une suppression effective : il est indispensable de prendre des mesures proactives, dont la détection automatisée, afin de détecter efficacement et rapidement le contenu à caractère terroriste, de l’identifier et de le supprimer ou de bloquer l’accès à celui-ci promptement ainsi que d’en empêcher la réapparition après sa suppression.

– des garanties : afin d’évaluer correctement un contenu à caractère terroriste signalé ou un contenu identifié par des outils automatisés, les entreprises doivent instaurer les garanties nécessaires, en particulier une opération de contrôle humain avant la suppression du contenu, de manière à éviter une suppression involontaire ou erronée d’un contenu qui n’est pas illicite. Il importe de relever que, pour remédier entièrement au problème que pose le contenu à caractère terroriste en ligne, la réduction de l’accessibilité à la propagande terroriste ne constitue qu’un aspect de la réponse. L’autre aspect consiste à soutenir des voix crédibles pour diffuser en ligne des contre-récits positifs ou des contre-discours. À cette fin, la Commission a lancé, dans le cadre du Forum de l’UE sur l’internet, le programme de renforcement des moyens d’action de la société civile, qui prévoit d’assurer le renforcement des capacités des partenaires de la société civile et d’accorder à ceux-ci des financements pour élaborer ces contre-discours.