La loi sur la société de l’information est en cours de transmission aux autorités consultatives de l’...tat. Une version du texte signé par Christian Pierret est en ligne.
Nouvelle étape dans le très long feuilleton de la Loi sur la société de l’information (LSI), la grande loi Internet du gouvernement Jospin. Le texte a été validé par Matignon pour transmission aux autorités consultatives et au Conseil d’...tat. Il pourrait être présenté au Conseil des ministres au début du mois de juin. Le site du quotidien Les ...chos a mis en ligne, jeudi 5 avril, une version du projet de loi non datée mais remontant vraisemblablement au 30 mars. Celle-ci ne diffère pas grandement du texte déjà présenté par Les ...chos dans le courant du mois de mars. Si l’ordre des chapitres a été sensiblement modifié, le projet de loi – souvent dénoncé comme un fourre-tout – concerne toujours la responsabilité des prestataires de services Internet, le commerce électronique, la cryptologie et la lutte contre la cybercriminalité.
Des hébergeurs civilement responsables
En matière de régulation, le texte a gagné en précision par rapport à la version présentée par Transfert.net avant les arbitrages entre les ministères. Le projet de loi applique aux hébergeurs de sites les dispositions prévues par la directive européenne sur le commerce électronique : ils seront civilement responsables du contenu des sites qu’ils hébergent s’ils n’ont pas réagi face à un site manifestement illicite. En contrepartie, il intègre une disposition de la directive qui les exonère de l’obligation de surveiller a priori les contenus hébergés. La future LSI introduira également un droit de réponse, mais l’idée d’obliger tout site à déclarer un directeur de publication a été abandonnée. Quant au Conseil supérieur de l’audiovisuel, sa compétence sur le Net sera limitée aux sites des télévisions et des radios hertziennes ou satellitaires, et ne devrait donc pas concerner les médias en ligne. Par ailleurs, un dépôt légal des sites Internet sera instauré à des fins d’archivages, qui sera à l’initiative des pouvoirs publics et entrera en vigueur trois ans après la publication de la loi.
Un registre antispam
Le texte introduit aussi des précisions concernant le stockage des données de connexion par les fournisseurs d’accès et hébergeurs. Sans doute suggérée par la Commission nationale de l’informatique et des libertés (CNIL), une disposition du texte pose comme principe que ces données devront être effacées dès que l’utilisateur se sera déconnecté. Mais la loi précise ensuite que ce régime bénéficie d’une exception pour permettre à la justice de retrouver les traces de la navigation dans le cadre d’une enquête. De plus, les opérateurs de télécoms pourront "traiter les données en vue de les commercialiser". Une assurance donnée au e-commerce, qui rejoint les dispositions sur le spam : les internautes ne souhaitant pas recevoir de publicités non sollicitées devront s’inscrire sur un registre public.
La cryptographie suspecte
Conformément à ce que nous avions annoncé, l’utilisation de la cryptographie est présumée coupable. En d’autres termes, "les moyens de cryptologie sont d’utilisation libre", sauf s’ils ont servi à préparer, faciliter ou commettre, un crime ou un délit. En ce cas, la peine s’en trouve automatiquement aggravée, à moins d’avoir déchiffré les messages. En cas de refus de déchiffrer, la personne risque trois ans d’emprisonnement et 45 000 euros d’amende. Dans le cas où un soupçon policier viendrait à déclencher une perquisition chez un particulier, qui pourrait dire si tel ou tel fichier crypté sur un disque dur a servi ou non à préparer, faciliter ou commettre un crime ou un délit ? La personne perquisitionnée serait donc présumée coupable quel que soit le contenu des fichiers... Pis, si des fichiers ont été cryptés des années auparavant et que la personne a oublié ou perdu les clefs, comment prouver qu’il ne s’agit pas d’un refus ? Par ailleurs, les défenseurs de la crypto se sont toujours élevés contre ce genre d’obligation de déchiffrement des messages, tout simplement parce que cela ne fait qu’aller à l’encontre des principes de base de la sécurité informatique sans pour autant empêcher les véritables criminels d’utiliser de la crypto forte.
Des professionnels mécontents
En matière de cybercriminalité, le projet prévoit d’aggraver les peines définies dans la loi Godfrain, qui permet depuis des années de réprimer la criminalité informatique. Le message est clair, répressif et va même à l’encontre de ceux qui sont censés lutter contre les cybercriminels. En effet, "le fait d’offrir, de céder ou de mettre à disposition un programme informatique conçu" pour réaliser une infraction informatique est puni des mêmes peines que celles prévues pour l’infraction elle-même. Ce qui risque de poser de sérieux problèmes aux spécialistes de la sécurité informatique qui, dans le cadre de leurs missions, sont souvent amenés à utiliser des programmes pouvant être utilisés de façon maligne. Même punition pour les administrateurs réseaux qui utilisent ces programmes régulièrement. Cette mesure, déjà présente dans le projet de Traité sur la cybercriminalité du Conseil de l’Europe, avait été dénoncée par les professionnels américains de la sécurité informatique, qui y voyaient une sérieuse entrave à leur métier et à la lutte contre le piratage informatique. Le Conseil avait alors adouci le texte.