FDN, la Quadrature du Net, et la fédération FDN ont déposé il y a quelques jours un recours devant le Conseil d'État contre le décret d'application de la loi anti-terrorisme et de la LOPPSI. Ce décret est celui qui organise le blocage des sites web sur décision administrative sans passer par la case justice.

Nous publions aujourd'hui le texte de notre recours. C'est un document assez complet, de 48 pages. Parfois un peu rude à lire pour les non-juristes. Les explications ci-dessous peuvent aider à s'y retrouver.

La structure du document

Comme le précédent recours que nous avions publié (celui contre le décret d'application de l'article 20 de la LPM, il est structuré en 4 parties. La première sur les faits, qui explique quelle décision nous attaquons. La seconde sur notre intérêt à agir^[1]. La troisième sur les défauts de légalité externe^[2]. Et la quatrième est celle sur les défauts de légalité interne^[3].

Cette approche est relativement logique, d'un point de vue de juriste. Mais elle ne l'est pas forcément pour expliquer le fond du dossier. La même disposition peut par exemple relever à la fois de la légalité interne et de la légalité externe. Par exemple, une disposition qui ne relève pas du pouvoir réglementaire, et donc ne peut apparaître que dans une loi. Il faut une loi pour la mettre en place. Essayer de la mettre en place dans un décret est une faute qui relève de la légalité externe (pas la bonne procédure, excès de pouvoir). Mais cette disposition peut aussi être contraire à un texte de loi pré-existant. Et ça, c'est une faute de légalité interne.

Du coup, pour expliquer un peu le contenu du document, on va plutôt se concentrer sur les dispositions qui ne vont pas, sans forcément bien suivre le rangement du doc.

Une pure faute de procédure

Une circulaire de février 2011 dit qu'il doit y avoir une étude d'impact, et qu'il faut saisir le commissaire à la simplification^[4] si la nouvelle disposition réglementaire touche les entreprises, et en particulier les PME. Comme les 1800 opérateurs déclarés à l'ARCEP sont en majorité des PME, ça aurait dû être le cas. Et ça ne l'a pas été.

Pas certain que le Conseil d'État considère que la faute soit très grave, mais il n'y a pas de doute sur le fait que c'est bien une faute.

Le décret n'est pas clair

Plusieurs des dispositions du décret sont rédigées de manières tellement floues, en particulier sur le sens technique de certaines phrases, qu'il est virtuellement impossible de dire de manière certaine ce qui sera fait. C'est en soit un problème, la constitution (et en particulier la Déclaration des droits de l'Homme de 1789) dit que la loi doit être compréhensible et prévisible. Et pareil pour les décrets.

Le Conseil d'État peut sauver le décret en nous répondant en gros meuh non, c'est clair, regardez, ça veut dire ça, et donc en fournissant la clarification qu'il juge nécessaire. Ou au contraire dire que le texte n'est pas clair, et le rejeter.

Le blocage sans juge

Cet argument est décliné sous plusieurs formes dans le document, mais il revient toujours sensiblement au même : nous estimons qu'il est illégal de bloquer un site web sans la décision d'un juge.

Tel qu'il est rédigé, le décret dit bien que les sites bloqués sont ceux qui contreviennent à l'article machin du code pénal. Or seule la justice peut déclarer que quelqu'un commet une infraction. La police administrative ne peut que prévenir une infraction. Donc il y a viol de la séparation des pouvoirs (la police, donc l'exécutif, fait quelque chose que seule la justice, donc le judiciaire, peut faire).

Par ailleurs, une mesure de police administrative doit pouvoir être contestée. Et la jurisprudence européenne nous dit que pour ça, elle doit être notifiée aux gens visés, et qu'elle doit être motivée. L'administration doit dire pourquoi elle te prive de liberté, pour que tu puisses aller voir le juge administratif et expliquer en quoi elle se trompe. Le simple fait de ne pas motiver, ou de ne pas assez motiver, est en soi contraire au droit européen. Or la procédure mise en place par le décret n'impose pas cette notification, ni de motiver la décision.

Le blocage en lui-même

Une mesure qui prive de liberté doit être prise pour un objectif d'intérêt général (sauver les bébés chats, faire cesser un trouble, protéger l'environnement, etc), doit être nécessaire, c'est-à-dire que sans cette mesure le trouble continue alors qu'avec le trouble cesse, et doit être proportionnée, c'est-à-dire qu'il n'y avait pas moyen d'atteindre le même but en privant moins de liberté.

Or le blocage des sites web n'est pas efficace (les sites sont toujours accessibles facilement, via VPN, via Tor, en changeant de DNS, en changeant de FAI, etc). Donc la mesure qui prive de liberté ne fait pas cesser le trouble. Raté pour le nécessaire.

Par ailleurs le blocage d'un site web tel qu'il est prévu a des effets collatéraux, et donc prive de leur liberté d'expression des gens qui n'ont rien à voir avec l'histoire, ce qui est un défaut grave de proportionnalité^[5].

Ensuite, il existe des mesures efficaces, qui sont moins privatives de liberté (faire retirer le contenu, faire fermer les sites, etc). Or ces mesures ne sont pas prévues, alors qu'elles atteignent mieux l'objectif en touchant moins aux libertés. Là aussi, ça manque de proportionnalité.

Le problème de la délation

Le décret indique que les gens qui essayent de consulter le site bloqué sont re-dirigés vers une page web du ministère de l'intérieur. Ce faisant, la police reçoit toutes les informations sur les gens qui ont essayé de visiter les pages. Ça crée, pour les opérateurs, non seulement une obligation de bloquer, mais aussi une obligation de dénoncer leurs abonnés à la police, en transmettant des données à caractère personnel dans l'affaire^[6].

Cette disposition est particulièrement grave. Et est illégale pour plein de raisons.

D'abord, elle ne pourrait être prévue que par la loi. Elle organise le transfert de données obligatoire entre les opérateurs et la police, ce que seule la loi peut faire. Elle ne transfère pas que le trafic web, mais tout le trafic à destination du nom de domaine bloqué, y compris les mails et les discussions jabber par exemple, et donc organise une interception de communications privées. Ce que seule la loi peut prévoir. Enfin, ce simple transfert d'informations est un STAD^[7] au sens de la CNIL. Or seule la loi peut organiser la création de ce type de fichier de police. Tout ça, c'est de la légalité externe.

Par ailleurs, il y a des dispositions légales qui interdisent aux opérateurs de transmettre à qui que ce soit quelque information que ce soit sur ce que font les abonnés avec leur accès à Internet. Or le décret, on l'a vu, organise le transfert d'une partie de ces informations vers la police. Or un décret ne peut pas dire le contraire d'une loi (légalité interne).

Un STAD mis en place par les pouvoirs publics doit remplir un certain nombre de critères définis par la loi de 1978 (informatique et libertés). Or le décret crée ce STAD sans vraiment le dire, et sans expliquer pourquoi ni comment. C'est contraire à la loi de 1978, là encore un problème de légalité interne. De même, un arrêté doit autoriser la mise en place de ce STAD, qui en l’occurrence n'existe pas. Ça, c'est un défaut de légalité externe.

Par ailleurs, le transfert des communications au ministère de l'intérieur est une atteinte aux libertés, des FAI d'une part, et des abonnés d'autre part. Elle n'est pas nécessaire puisque le même but peut être atteint autrement (les FAI peuvent afficher eux-même la page d'information, sans faire suivre le tout à la police). Elle est donc illégale parce que non prévue par la loi (légalité externe) et parce qu'elle manque de proportionnalité (légalité interne).

Sur tous ces points-là, le droit lu de manière stricte est très protecteur, et nous donne raison. Mais le droit est toujours interprétable. La position de la CNIL sur le fait qu'une adresse IP est une donnée personnelle, voire une donnée nominative, n'est pas une loi.

Le Conseil d'État pourrait donc décider de rejeter nos arguments, en expliquant à chaque fois pourquoi il n'est pas d'accord, en vertu de quel texte il considère que nous nous trompons, et éventuellement en détaillant l'interprétation du texte en question.

Le Conseil d'État peut aussi décider que c'est bien un STAD, que c'est bien une délation, qu'un décret ne peut pas organiser tout ça sans une loi qui l'y autorise, et que donc cette disposition doit sauter.

Ce sera une vraie décision de droit, forcément. Mais pas seulement. Elle comportera forcément une composante politique, comme la décision de la CJUE invalidant la conservation systématique des données de connexion.

Comme nous l'avions dit dans le billet annonçant le recours, nous publions ici le texte du recours.

En publiant ce texte, nous poursuivons plusieurs buts. D'abord demander de l'aide. Tous ceux qui ont quelques bases suffisantes en droit, qui veulent nous aider, et qui pensent qu'on a oublié un argument clef sont invités à nous le signaler. Ensuite montrer ce que nous faisons, pour l'exemple, pour que les prochaines associations qui voudront se présenter devant le Conseil d'État aient une idée de comment faire. Notre recours est tout sauf parfait, mais il a le mérite d'exister.

Délais et procédures

Ce mémoire a été reçu par le greffe du Conseil d'État le 18 février. Nous avons trois mois pour préparer un mémoire ampliatif dans lequel nous reprenons nos arguments, pouvons les développer davantage, et en ajouter d'autres. Nous devons impérativement envoyer ce mémoire ampliatif avant le 19 mai, pour le moment on espère l'avoir terminé plutôt début mai.

Entre temps, devrait être déposée une QPC^[1]. Ce qui va rendre la procédure un peu moins lisible sur les délais (suspension, transmission, etc).

Ensuite, on devrait recevoir dans les deux mois^[2] après notre mémoire ampliatif les réponses des ministères. Réponses auxquelles nous pourrons répliquer dans les mêmes délais. Les ministères pouvant eux aussi répliquer, etc. Jusqu'à ce que personne ne réponde, ou que le juge d'instruction siffle la fin de la récré et s'estime suffisamment informé.

Tout le travail de préparation du recours a été mené par des bénévoles, et continuera d'être mené par des bénévoles. Cependant, pour la suite de la procédure nous serons représentés devant le Conseil d'État par un avocat aux Conseils^[3], maître Patrice Spinosi qui a proposé de nous aider gracieusement. Son expérience nous sera d'un soutien précieux.

Comment nous aider

Alors, pour les non-juristes, qui ont déjà mal à la tête en ayant lu jusque-là, en nous soutenant. En faisant en sorte que nos associations se portent bien. En prenant grand soin des bénévoles qui font tout ce travail. En faisant que celles de nos associations qui ont besoin de financement pour vivre aient ce financement.

Pour les juristes, en nous aidant à soulever d'autres moyens de droit intéressants, à mieux argumenter tel ou tel passage, en nous signalant une jurisprudence qui a pu nous échapper. Notre groupe de travail est assez ouvert, on ne rechigne pas trop à communiquer nos brouillons aux copains pendant la préparation des documents (même si on n'a pas forcément envie de faire les réunions de travail à 50).

Moyens de droit

Le texte du recours est structuré selon un plan simple de 4 chapitres. Le premier rappelle les faits, en exposant quel acte de l'administration nous attaquons, d'où il sort. Le deuxième chapitre indique à quel titre nous avons intérêt à agir^[4]. Le troisième chapitre reprend les arguments qui relèvent de la légalité externe (erreur de procédure, ou décision que l'administration ne peut pas prendre parce que seul le législateur peut en décider, etc). Enfin le dernier chapitre regroupe les arguments qui relèvent de la légalité interne (le décret est contraire à la loi ou à la constitution, ou à une directive européenne, etc).

> Légalité externe

Le premier point soulevé est que le décret est prévu en application d'un article (246-4) mais est essentiellement consacré à préciser un article (246-1) qui lui ne prévoit pas de décret. C'est embêtant parce que quand la loi dit le décret précise X alors le décret ne peut pas préciser Y, il faudrait que la loi dise le décret précise X et Y. En donnant des précisions sur un article de loi qui n'a pas prévu de décret d'application, le décret est entaché d'incompétence^[5].

Le deuxième point soulevé est que le décret, comme tout texte qui touche à l'économie numérique, aurait du être présenté à la Commission Européenne, et qu'il ne l'a pas été. Ça, c'est une faute de procédure assez grossière.

Le dernier point soulevé est que tout texte qui touche des PME doit être accompagné d'une étude d'impact, et que le commissaire à la simplification doit en être saisi. Ce qui n'a pas été le cas. L'idée de ce truc était qu'à chaque fois que l'administration complique les règles (ou en ajoute, ce qui revient au même) elle doit en retirer autant, pour pas que ça déborde.

> Légalité interne

Le premier point, qui est le point clef de l'ensemble du recours, est que la CJUE a annulé la directive européenne qui prévoyait la conservation des données. Et que cette directive a été annulée avec une explication de texte, en particulier parce qu'elle prévoyait la conservation des données de tout le monde, suspect ou pas, protégé par le secret^[6] ou pas. Or les lois françaises sur le sujet ne respectent pas du tout la décision de la CJUE. Et le décret est pris en application de ces lois. En toute logique le Conseil d'État devrait constater que les lois sont contraires à la décision de la CJUE, donc qu'elles ne sont pas applicables en France, et que donc le décret doit être annulé puisqu'il applique une loi qui ne doit pas l'être.

Si le Conseil d'État a un doute sur le sujet, il peut demander à la CJUE de préciser sa pensée, si tel ou tel passage de la décision n'est pas assez clair. Nous, nous pouvons l'y inviter, en suggérant qu'il faudrait poser une telle question, voire en proposant une formulation de la question.

Le second moyen est que le décret prévoit des intrusions dans la vie privée qui ne sont pas prévues par la loi. Or la Cour européennes des droits de l'Homme (Cour EDH) est formelle sur ce sujet-là: une intrusion dans la vie privée, quel que soit le motif, ne peut être prévue que par une loi, pas par un décret, et doit être prévue de manière précise et prévisible. Or la loi n'est pas précise.

Le troisième moyen est que la loi prévoit la conservation des données permettant l'identification de l'auteur d'un contenu. Or le décret prévoit que soient conservées les informations sur toute personne qui se connecte à Internet. Même si cette personne n'est l'auteur d'aucun contenu. Le décret élargi donc le champ prévu par la loi. Ce qu'il n'a pas le droit de faire.

Le quatrième moyen est que la mesure est excessive, sur pas mal de choses. Trop de données, conservées trop longtemps, accessibles à trop d'administrations, pour trop de raisons différentes, avec un contrôle très faible de ce que fait l'administration, et alors qu'il existe d'autres moyen d'obtenir le même résultat (on en cite quelques-uns). Ça, c'est du droit général, une mesure de restriction de liberté doit être nécessaire et proportionnée.

Le cinquième moyen est que l'article 246-4, en application duquel est pris le décret, précise bien que le décret doit préciser certaines informations (procédures de suivi), alors que le décret ne précise pas ces informations. Et donc n'est pas conforme à la loi.

Le texte du recours

Pour ceux qui ont raté le lien dans le chapeau de l'article, la requête introductive d'instance contre le décret 2014-1576 est là. Ça fait une vingtaine de pages, c'est écrit gros, ça doit être assez lisible.

Le mémoire ampliatif sera publié.

FDN, La Quadrature du Net, et la Fédération FDN ont envoyé au greffe du Conseil d'État, aujourd'hui, un recours contre le décret d'application de l'article 20 de la loi de programmation militaire (LPM). Ce recours vise à faire annuler le décret pour des raisons de forme, mais surtout, pour appliquer en droit français la décision du mois d'avril de la Cour de Justice de l'Union Européenne qui a cassé la directive sur la rétention de données de connexion par les FAIs et les hébergeurs.

La question de la rétention des données de connexion et des conditions de leur consultation par les pouvoirs publics fait partie des plus vieux dossiers autour d'Internet. Elle est devenue prépondérante à la suite des attentats du 11 septembre 2001, mais apparaissait déjà avant.

Contexte historique

Les données de connexion, ce qu'on appelle de nos jours les méta-données, sont l'enjeu d'un combat depuis une quinzaine d'années. Ces données, chez votre fournisseur d'accès, ce sont les informations indiquant à quelle heure vous vous êtes connectés, depuis où, avec quels identifiants, et quelle adresse IP vous a été attribuée à ce moment-là. Chez tous les hébergeurs de sites web ou fournisseurs de services, ce sont les informations qui précisent qui a écrit tel commentaire, quel est son compte utilisateur sur le site, depuis quelle adresse IP il a écrit le commentaire, etc. En fait, ce sont des données qui permettent de vous tracer en permanence.

Il y a deux grands volets dans ces questions. D'une part, quelle quantité de données doit être conservée par les opérateurs : quelles informations, si elles doivent avoir été vérifiées, pendant combien de temps elles doivent être conservées, etc. Et d'autre part, qui peut y accéder et comment : la police municipale en a-t-elle le droit pour un stationnement gênant ? Et la police des transports ? Ou encore la douane ? Quelle procédure ? Est-ce que ça doit passer par un juge ou pas ?

La phase la plus active du combat était autour de 2005, quand se préparait une directive européenne (la directive 2006/24) fixant les règles du jeu. La campagne était alors en grande partie menée par XS4all, derrière le slogan data retention is no solution. Notre position sur le sujet était simple : les données sont conservées très peu de temps, quelques semaines, et ne sont accessibles que sous un contrôle strict, normalement dans le cadre d'une procédure judiciaire. La raison est simple : l'intrusion dans la vie privée de la personne est absolument majeure. Regarder ce que quelqu'un fait en ligne, c'est comme filmer dans son logement, c'est hyper intrusif. On ne peut pas faire ça à la légère sans un contrôle très sérieux.

Ce combat fait partie de ceux que nous avions largement perdu. Nous avions réussi à faire entendre qu'il devait y avoir une durée maximale de conservation, mais elle est trop longue. Nous avions réussi à faire entendre que la règle devait être de rendre anonymes toutes les données immédiatement, mais il y a tellement d'exception que la règle ne s'applique à rien. Nous avions fait entendre l'idée qu'il fallait un contrôle, mais il a été tellement lacunaire, et tellement chaotique que nos politiques ont inventé des mots pour ça. Quand la police fait n'importe quoi pour accéder aux données de n'importe qui sans suivre la moindre procédure, ils disent que c'est alégal^[1], quand tout le monde sait que c'est illégal.

Les dérives que nous craignions tant, à l'époque des débats sur la rétention des données, se sont toutes produites. La surveillance généralisée de la population, nous sommes en plein dedans (voir les révélations d'Edward Snowden, par exemple). Le mauvais usage fait par les privés pour profiler les gens à partir de leurs données, nous sommes en plein dedans.

Décision de la CJUE en avril

En avril 2014, dans le contexte des révélations d'Edward Snowden, la Cour de Justice de l'Union Européenne (CJUE) a rendu une décision capitale sur ce dossier-là. Cette décision est claire, complète, et argumentée, expliquant que la surveillance généralisée de la population n'est pas une option valable dans un système démocratique. Et que donc la rétention des données, et leur collecte par les pouvoirs publics, ne sont possibles que pour ce qui concerne les personnes suspectées de quelque chose.

La décision du 8 avril 2014, dite Digital Rights Ireland, a fermement rappelé ces principes, mais surtout la solution apportée à la question par la CJUE est brutale : toute la directive européenne sur la rétention des données (directive 2006/24/CE^[2]) est annulée. Pas un article modifié ou retiré de-ci de-là, non, toute la directive tombe.

Et l'argumentation est extrèmement claire : la directive traite tout le monde de la même manière, qu'on soit l'objet d'une enquête, ou simple quidam. Ce qui veut dire que, de fait, tout le monde est suspect de tout, dans le doute. Et c'est précisément ça qui cloche, pour la CJUE. Elle constate que l'ingérence dans la vie privée créée par l'accès à ces données est majeure. Et que donc, elle doit être strictement proportionnée, et rigoureusement encadrée. Loger tout le monde à la même enseigne, ce n'est pas proportionné. Et l'encadrement de l'accès aux données est au mieux considéré par la CJUE comme défaillant.

Plusieurs pays ont déjà, suivant différentes procédures, transposé dans leur droit la décision de la CJUE. En particulier, quand les lois nationales sur la conservation des données sont une transposition stricte et directe de la directive européenne, ces lois tombent presque automatiquement : quand elles sont examinées par les hautes juridictions du pays, elles n'ont plus aucune chance de survivre, puisque leur principal fondement juridique est tombé.

En France, ce n'est pas le cas. D'abord par tradition, quand une instance internationale vient donner des leçons sur les libertés, que ce soit la CJUE ou la CEDH, la France considère que ça concerne tout le monde sauf elle, vu que la France est une démocratie irréprochable, voyons. Par ailleurs, le droit français sur le sujet ne découle pas exclusivement de la directive de 2006. La France avait fait le choix de surveiller la totalité de sa population bien avant, tradition oblige. Le droit français s'appuie donc aussi sur la directive précédente sur le sujet, celle de 2002, ainsi que sur des éléments propres, par exemple hérités de la loi sur la confiance en l'économie numérique (2004) ou dans le code des postes et communications électroniques, sur des éléments hérités des interceptions du courrier ou des écoutes téléphoniques^[3].

Du coup, le droit français en la matière, constitué de tas de petits bouts de lois éparpillés un peu partout, n'est pas considéré comme entièrement caduque. Bon, il est contraire à la décision de la CJUE, mais tant qu'une haute juridiction nationale (Conseil d'État, Cour de Cassation ou Conseil Constitutionnel) n'aura pas fait tomber le texte, il reste applicable. L'administration appliquant légalement un texte illégal, il faut être juriste pour comprendre sans s'étrangler.

Il fallait donc attendre une occasion pour apporter tout ça devant une de ces hautes juridictions. Par exemple, en attaquant un décret qui parlerait de ça. Mais un décret, ça doit s'attaquer dans les deux mois suivant sa publication. Il fallait donc attendre la publication d'un décret tout neuf.

L'article 20 de la LPM

L'article en question est celui qui dit comment, et dans quel contexte, quel service administratif (entendre, de police, en gros) peut accéder à quelles données, sans passer par un juge. Dans la version précédente des textes applicables, on disait le service A peut accéder aux données B, et on listait des services dans différents bouts de loi, disant à chaque fois à quoi il peut accéder et pour quoi faire.

La nouvelle version est beaucoup plus large. Elle dit en gros que les services A, B ou C peuvent accéder aux données D, E ou F, pour l'ensemble des raisons G, H ou I. Alors au final, c'est un peu curieux, parce qu'on peut très probablement arriver à des constructions aberrantes (l'anti-terrorisme peut demander des données sur un pédophile dans une enquête douanière, en gros). Mais surtout, c'est beaucoup plus large. Et la loi est très floue, elle dit toute donnée ou tout document, sans qu'on sache bien ce que ça recouvre.

Et très précisément, la CJUE nous dit qu'en la matière, l'accès aux données est une atteinte grave à la vie privée, et qu'il faut donc que tout ça soit très encadré et très bien défini. On en est loin. Nous étions nombreux, parmi les défenseurs des libertés sur Internet, à avoir réagi en découvrant, un peu par surprise, un texte sur la police et le numérique au milieu du machin sur la programmation militaire. Mais peine perdue, les parlementaires ont voté le texte, et ils n'ont pas osé aller le présenter au Conseil constitutionnel.

L'article 20 de la LPM prévoit un décret d'application. Pour être exact et précis, il prévoit un décret qui précisera dans quelles conditions, et avec quels moyens, la Commission Nationale de Contrôle des Interceptions de Sûreté^[4] pourra contrôler tout ça. Or en vrai, le décret publié à Noël^[5] parle de quelle administration pourra demander quoi dans quelles conditions, mais très peu des conditions de contrôle, et certainement pas des moyens donnés à la CNCIS.

Notre recours

Quand le décret a été publié, un des juristes proches de FDN et de la Quadrature a sauté dessus, et est venu discuter du sujet avec nous. En pleines vacances, pendant le 31c3, le président de FDN^[6] attrape la balle au bond : oui, c'est intéressant, oui, c'est une opportunité, oui s'il faut quelqu'un pour porter le recours devant le Conseil d'État, FDN le fera. Ne reste plus qu'à trouver assez de bonnes volontés parmi nos bénévoles et ceux des associations amies pour nous aider à rédiger tout ça. Bien entendu, on a invité La Quadrature à se joindre à nous, ainsi que la Fédération FDN.

Comme tout recours contre un décret, c'est un recours pour annulation pour excès de pouvoir, c'est comme ça que ça s'appelle. C'est toujours articulé en deux volets.

D'une part, le décret n'est pas pris dans les bonnes formes, on a oublié de consulter un comité théodule, on a oublié une signature, etc. Dans ce cas précis, le décret contient des dispositions sans rapport (il doit préciser comment la CNCIS contrôle, mais en vrai il précise quel service a accès à quoi), et il n'a pas été transmis à la Commission Européenne alors qu'il aurait dû. Ce contrôle de forme, c'est ce que les juristes appellent la légalité externe.

D'autre part le décret est contraire au droit. Contraire à la constitution, aux traités européens, à telle ou telle loi, bref, contraire au droit. C'est là qu'on explique longuement que le décret est contraire à la décision de la CJUE, et que tant qu'on y est, tout le droit français sur le sujet est contraire à la décision de la CJUE, et que donc tous les décrets qui en découlent sont caduques^[7]. C'est ce que les juristes appellent la légalité interne.

Nous soulevons également quelques autres arguments intéressants, mais voilà déjà les grandes lignes.

Suite de la procédure

Demain matin, si la Poste fait bien son boulot, le greffe du Conseil d'État recevra le dossier complet, en six exemplaires. Si on n'a rien raté dans les formes du dépôt du recours, on recevra dans les jours qui suivent un courrier avec le numéro de l'affaire, et des identifiants pour suivre la procédure en ligne. Le dossier sera transmis à la partie adverse, à savoir le gouvernement.

Nous avons, à compter d'aujourd'hui, 3 mois pour produire un second mémoire, plus complet, qui détaille un peu mieux nos arguments, et qui éventuellement soulève d'autres points. Nous avons également le temps pour déposer une question prioritaire de constitutionnalité, pour que le Conseil constitutionnel nous indique si oui ou non ce texte est conforme à la constitution, vu que les parlementaires n'ont pas osé demander.

Ensuite, il y aura la procédure habituelle au Conseil d'État, les ministères répondront à nos arguments, on pourra répondre à leur réponse, et ainsi de suite. Jusqu'à ce que personne ne réponde plus rien, ou que le magistrat chargé de l'instruction siffle la fin de la récré. En tout, la procédure devrait prendre 18 à 24 mois, en gros. On devrait donc avoir une décision du Conseil d'État entre mi-2016 et fin-2016.

Nous avons prévu de publier le mémoire envoyé ce matin au Conseil d'État. Par politesse, on le fera une fois que le dossier sera ouvert, et que donc le texte aura été transmis à la partie adverse.

Les zéyandroa font des gorges chaudes sur le fait qu'ils ont obtenu une victoire magnifique, en la forme d'une décision de justice qui impose aux opérateurs de filtrer le site de The Pirate Bay en France.

Cette décision, appuyée sur l'article que nous annoncions comme le pire du pire du contenu de la loi HADOPI, parfaitement ubuesque, nous semble poser des problèmes, tant sur le fond de la motivation de la décision, que sur la forme qu'elle va prendre une fois mise en œuvre. Au final, elle nous permet en tant que fournisseurs d'accès militants de faire œuvre d'éducation, d'expliquer ce qu'est Internet, et comment il fonctionne. C'est peut-être un mal pour un bien.

La justice de père Ubu

Le Tribunal de Grande Instance de Paris a rendu le 4 décembre une décision par laquelle il condamne quatre fournisseurs d'accès à Internet à filtrer l'accès au site The Pirate Bay. Tout dans cette décision semble marcher sur la tête. Essayons de comprendre...

Les ayants droit ne sont pas contents parce que The Pirate Bay contient des liens vers des torrents qui permettent de télécharger les œuvres dont ils touchent des droits. Ils considèrent que The Pirate Bay est donc un contrefacteur, ou au moins un moyen de diffusion de ces contenus contrefaisants. Ils veulent donc que The Pirate Bay soit considéré comme un site illégal et qu'il soit interdit en France. On peut ne pas être d'accord. On peut considérer que The Pirate Bay diffuse des fichiers torrents, et pas des contenus protégés par le droit d'auteur. On peut aussi constater qu'ils diffusent également des fichiers torrents liés à des contenus tout à fait légaux, voire libres de droits. Mais ce n'est pas le sujet du jour.

Le sujet du jour c'est que quand les ayants droit veulent faire interdire une activité illégale, ils font un procès... à quelqu'un d'autre. Ce n'est pas que les ayants droit soient fous, c'est que nous vivons au temps de la justice de père Ubu. En effet, ce que veulent obtenir les ayants droit, c'est que les fournisseurs d'accès empêchent l'accès au site de The Pirate Bay. Or pour forcer les FAIs à faire quelque chose, il faut les condamner. Pour les condamner, il faut qu'ils soient délinquants.

L'affaire qui nous intéresse oppose donc, d'une part, des gens qui défendent leurs droits patrimoniaux sur des œuvres, et d'autre part des gens qui ne sont pas les délinquants, mais qui vont quand même être condamnés. De manière particulièrement amusante, ils seront payés pour mettre en œuvre la décision de justice. Ils sont donc condamnés à se faire payer par les ayants droit pour mettre en œuvre une décision de justice.

Mais, et le délinquant alors ? Fastoche. Il n'est pas concerné. Pas cité dans la procédure. Pas invité à se défendre. On a donc d'une part, des ayants droit qui exposent leurs griefs. D'autre part des FAIs qui sont transformés par la force de la justice en exécuteurs des sentences. Et personne pour représenter les intérêts de l'accusé/condamné, puisqu'il n'est même pas cité au procès. Père Ubu inventerait la justice qu'il ne ferait pas mieux. Ou pire, c'est selon.

Cette approche du droit pose des questions, en dehors du fait qu'elle est ridicule. Par exemple, le site The Pirate Bay n'est pas condamné. Il n'y a pas de décision d'un tribunal en France disant que son activité est illégale et qu'il doit fermer. Du coup, pour un FAI qui n'est pas condamné à le filtrer, il serait totalement illégal de le faire (atteinte au secret des correspondances privées, atteinte au droit d'accès à l'information, atteinte aux obligations définies par le code des postes et communications électroniques).

On a donc cette situation ubuesque où celui qui est annoncé comme le méchant n'est pas condamné, où ceux qui sont condamnés sont en fait les exécuteurs de la décision de justice, et où les autres FAIs ont l'obligation de continuer à permettre l'accès au site. Et bien entendu, celui qu'on annonce dans toute la presse comme délinquant, et dont on essaye d'empêcher l'activité, n'a pas pu se défendre.

Le filtrage de père Ubu

Nos quatre amis FAIs sont donc dans l'obligation de filtrer. Ils doivent choisir la méthode, rapide, qui ne coûte pas cher, et qui pose le moins de problèmes. Il existe trois grandes façons de faire. Soit on bloque le routage vers l'adresse IP du site, mais ça a des effets de bord sur le fonctionnement du réseau, et on filtre tout autre site partageant les mêmes serveurs. Soit on bloque par un filtrage intrusif et une analyse des contenus circulant sur le réseau, mais ça coûte une fortune et ça revient à espionner toutes les communications du pays. Soit on bidouille les DNS pour qu'ils oublient l'existence de ce nom de domaine.

La solution du filtrage par le DNS était déjà celle retenue, en 2011, quand le ministre de l'intérieur Claude Guéant faisait filtrer copwatch. C'est également la solution que l'actuel ministre de l'Intérieur annonce pour mettre en œuvre le filtrage prévu par la toute récente loi sur le terrorisme. Lors des débats à l'Assemblée, il était même admis que cette solution soit facile à contourner, mais posant moins de problèmes d'atteintes à l'intégrité du réseau.

Cette approche expose un problème de fond. Tous ces braves gens, FAIs, justice, ministres et ministères, moines copistes de DVDs, disent qu'ils font filtrer par les opérateurs du réseau, alors qu'ils font filtrer par le fournisseur de service DNS. Ils sont en train, dans ces décisions de justice, de graver l'idée que le résolveur DNS utilisé par l'internaute est, forcément, toujours, celui de son FAI. Que le service de résolution DNS est une composante totalement centrale du réseau. Ce qui est parfaitement faux.

Ce couplage fort entre l'opérateur du réseau et le fournisseur de DNS est exactement aussi faux que celui entre l'opérateur et le fournisseur de mail. Il y a 15 ans, les mêmes pensaient qu'il était de toute évidence, et de toute éternité, qu'un abonné de Club Internet a une adresse e-mail qui se termine en @club-internet.fr. Le fait de graver ce genre d'idioties dans des décisions de justice, dans des décrets, dans des lois, c'est suivre la pente savonneuse qui rendra illégal le fait d’utiliser un service de résolution DNS autre que celui fourni par son opérateur.

Ce serait en effet la conséquence logique. Pour faire fermer un site, au lieu de condamner le site, on condamne le FAI. Pour filtrer, il n'utilise pas son activité de FAI, mais une activité annexe de fourniture de service de résolution de nom. Pour rendre ce filtrage plus solide, il faudrait interdire à l'internaute d'utiliser un autre service que celui de son opérateur. Sur le principe, c'est contraire à toutes les directives européennes, car c'est rendre obligatoire un abus de position dominante, une entrave absolue à la concurrence.

Or choisir son service de résolution DNS, c'est choisir la façon dont on voit Internet. C'est choisir la racine du système de nommage qu'on utilise. Bien qu'étant sur le même Internet que tout le monde, quand on change de DNS, on voit le réseau différemment, et pour le moment on le fait par choix. Peu de gens utilisent cette faculté, mais elle existe.

Cette décision de justice, ubuesque, si elle devait être un tout petit peu plus logique, devrait viser les fournisseurs de service de résolution de nom, pas les opérateurs de réseau. L'analyse faite dans le jugement dit que les quatre acteurs visés représentent plus de 90% de l'accès à Internet en France. La même analyse faite sur la fourniture de service DNS donnerait les noms des mêmes acteurs. Mais choisis pour d'autres raisons, finalement plus logiques.

Les limites du système

Il y a des centaines de FAIs en France, des milliers de fournisseurs de service de résolution de nom. Pour obtenir un bon résultat, les ayants droit doivent donc tous les attaquer en justice, ce qui ferait exploser leurs frais d'avocats. Ou alors, ils peuvent rester dans l'à-peu-près. Ils ont visiblement choisi pour l'instant de taper dans un "à-peu-près" de 4 opérateurs nationaux, représentant « de notoriété publique » (sic) plus de 90% de parts de marché.

De son côté, le ministère de l'intérieur a choisi une solution plus brutale. Les sites qu'il fera interdire seront ajoutés à une liste noire des sites à filtrer, et tous les opérateurs auront d'un coup l'obligation de filtrer ces sites. Quitte à choisir cette approche plus cohérente, on aurait pu aller jusqu'à faire un procès aux sites (éditeurs, auteurs, etc) avant de les condamner à être mis à l'index. Mais un procès contradictoire qui précède une condamnation, c'est passé de mode en France.

Au final, tout ça suppose que les gens qui n'arriveront pas à accéder à un contenu ne sauront pas comment contourner la censure. L'exemple récent en Turquie, où les adresses des DNS de Google étaient taggées sur les murs pour contourner le filtrage de Twitter tend à montrer que nos gouvernants se trompent. Les gens qui veulent accéder à un contenu sont d'autant plus disposés à faire un effort qu'on essaye de les en empêcher.

La réponse des FAIs associatifs

Nous expliquons depuis longtemps que les gros opérateurs sont trop gros, et que ça les rend dangereux. Nous avions raison. Si le marché était fragmenté en de nombreux petits opérateurs, de telles solutions idiotes de justice qui marche sur la tête n'auraient pas été possibles.

Dans nos associations, nous apprenons à faire fonctionner Internet, donc entre autres à faire fonctionner un DNS. Changer le système de résolution de nom de domaine, pour nos abonnés, c'est facile à faire. Ce travail de formation, de montée en compétence de nos bénévoles, tend à multiplier le nombre de personnes capables de comprendre les enjeux politiques et les réalités techniques qui sont derrière. Nous avions raison de vouloir répandre les compétences le plus largement possible.

La réponse naturelle des fournisseurs d'accès associatifs est de dire que nous fournissons des accès à Internet, et que comme nous sommes trop petits pour être visés par ces décisions de justice, nos accès ne sont pas filtrés. Chez nous, The Pirate Bay fonctionne encore.

Bien entendu, ce n'est pas possible pour tout le monde. Soit que nos services soient trop chers, soit qu'ils ne soient pas disponibles chez vous pour des raisons techniques^[1]. Pour ces abonnés, nous fournissons des systèmes de VPN, qui permettent d'avoir de l'Internet propre et non-filtré à partir d'un accès à Internet mal-propre et filtré. Au départ, on avait mis ça en place pour aider les dissidents dans les pays totalitaires, mais ça marche aussi pour corriger les aberrations du marché et de la politique en France.

Enfin, pour ceux d'entre vous qui ne sont pas assez courageux pour devenir adhérent d'un FAI associatif, nos serveurs DNS sont ouverts et acceptent de servir les demandes de tout le monde. Oui, comme ceux de Google, sauf que les nôtres sont comme ça depuis plus de 20 ans, et qu'on n'avait jamais trouvé utile de faire un communiqué de presse sur le sujet.

Du coup, voilà les adresses IP des DNS ouverts de certains des FAIs membres de la Fédération FDN, disponibles en IPv4 et en IPv6.

• FDN : ns0.fdn.org (80.67.169.12 / 2001:910:800::12) | ns1.fdn.org(80.67.169.40 / 2001:910:800::40)
• LDN : ns0.ldn-fai.net (80.67.188.188 / 2001:913::8)
• ARN : recursif.arn-fai.net (89.234.141.66 / 2a00:5881:8100:1000::3)

Pour apprendre à changer les serveurs DNS que vous utilisez, vous pouvez jeter un œil à l'article de Pierre Col publié récemment sur ZDNet, ou à l'article de Stéphane Bortzmeyer publié il y a deux ans sur son blog.

Lors des débats à l'Assemblée sur le projet de loi Cazeneuve dit terrorisme, le ministre de l'Intérieur a indiqué qu'il travaillera avec tous les fournisseurs d'accès. Puisque la Fédération, ce sont 26 fournisseurs d'accès, elle s'est sentie invitée à participer. Par la présente lettre ouverte, la Fédération FDN accepte donc l'invitation faite par le ministre de l'Intérieur à venir prendre part aux discussions sur les décrets qui mettront en oeuvre la censure par les FAIs sur décision secrète de la police. Le PDF est disponible, ainsi que l'annonce sur le site de la Fédération.

C'est devenu une habitude dans les différents ministères. Quand ils disent les fournisseurs d'accès, ils désignent les 4-5 grands. On ne sait pas bien si c'est par ignorance, ou si c'est parce que personne ne s'est jamais penché sur le texte obscur du Code des Postes et Communications Électroniques. Ça leur permettrait par exemple de découvrir qu'il existe une autorité administrative indépendante, l'ARCEP, dont l'une des missions est de connaître tous les acteurs du réseau, et donc tous les fournisseurs d'accès de France.

Cette fâcheuse tendance a des conséquences. En particulier, dès qu'une question d'ordre économique est soulevée, on consulte toujours les mêmes. Du coup, si c'est dans les clous pour le budget d'Orange, alors ce sera aussi dans les clous pour le budget de FDN. Évident. Il faut un service juridique qui réponde au téléphone, tous les jours, de 8h à 18h ? Ça existe déjà chez Orange. Chez FDN ça risque d'être compliqué à organiser.

Là où ça devient carrément comique, c'est que le plus souvent les différents ministères considèrent qu'en demandant l'avis des opérateurs, ils ont demandé l'avis des internautes. Alors que précisément, ils ont demandé aux opérateurs qui ne représentent que leurs actionnaires, et ont négligé de consulter les seuls opérateurs qui donnent systématiquement un droit de vote à leurs abonnés, c'est-à-dire les opérateurs associatifs.

Oh, il n'y a pas d'illusion à se faire. Il est peu probable que la lettre ouverte de la Fédération soit suivie d'effets. Mais voilà, nos gouvernants ne parlent qu'aux gens du même monde qu'eux, soit-disant capitaines d'industrie.

Il faut être juste, on constate une vraie ouverture de la part de certains services, en particulier de ceux qui sont spécialisés dans le numérique: l'ARCEP nous connaît, et nous écoute parfois; le Conseil national du numérique tient compte de nos positions sur certains dossiers clefs où nous sommes considérés comme spécialistes; la CNIL sait que nous existons; en son temps, le ministère de l'Économie numérique nous invitait à parler sur le neutralité du net, etc.

Mais ces cas sont encore trop rares. L'aménagement numérique du territoire ? Ce sont des échanges de milliards entre copains, jamais la plèbe des FAIs de moins d'un milliard n'est consultée sur rien. Les études d'impact au ministère de l'Intérieur ? On en a parlé à Orange, ça doit bien suffir. Les travaux de ministère de la Culture ? Même chose. Les accords Olivennes pour faire HADOPI ? C'est signé par 4 FAIs, c'est bien que tous les représentants d'Internet sont d'accord. Le statut des hébergeurs ? Les hébergeurs, c'est Twitter, Facebook et Youtube, ils sont américains, donc on s'en fout.

Nous faisons l'effort, autant que nous le pouvons, de respecter les obligations idiotes des fournisseurs d'accès. Nous essayons, autant que le peut un groupe de bénévoles, de défendre certaines valeurs, de faire du réseau humain, et pas du business. Il nous semble que les personnes chargées de l'administration de la chose publique pourraient être tenues à une certaine impartialité, à traiter tous les acteurs sur un pied d'égalité, à prendre en compte la diversité existante.

Encore une fois, il est peu probable qu'on modifie en profondeur ces habitudes pénibles. Mais on va quand même essayer. On ne sait jamais, ça pourrait bouger, un tout petit peu.