Paris, le 12 décembre 2016 — La Loi « Liberté de création, architecture, patrimoine » votée au printemps 2016 a instauré le principe d'un nouveau système de redevance que les moteurs de recherche d'images devront payer à des sociétés de gestion collectives de droits. La Quadrature du Net considère que ce nouveau régime porte lourdement atteinte aux créateurs qui choisissent de publier leurs images et photographies sous des licences libres ou dans le domaine public volontaire et est contraire à la jurisprudence de la Cour de justice de l'Union européenne.

La France a notifié à la Commission européenne le décret d'application correspondant à cette loi début septembre 2016. La Commission avait trois mois pour refuser ou accepter cette nouvelle taxe. Devant cette régression pour les Communs volontaires, La Quadrature du Net a envoyé à la Commission européenne ses observations sur le décret d'application de cette mesure. En cas d'adoption de ce décret, nous saurons s'il nous faudra attaquer cette mise en gestion collective obligatoire devant le Conseil d'État. Wikimédia France soutient ces observations envoyées par La Quadrature du Net.

Télécharger les Observations à la Commission européenne

Observations à la Commission européenne concernant le décret d'application de la loi « Liberté de création, architecture, patrimoine »

La France a notifié à la Commission européenne le décret d'application de l'article 30 de la loi « liberté de création » publiée le 8 juillet dernier au Journal officiel.

Ce texte instaure un nouveau régime de gestion collective obligatoire visant à soumettre à redevance les moteurs de recherche pour le référencement des « œuvres d'art plastique, graphique ou photographique » qu'ils opèrent.

La Quadrature du Net souhaitent attirer l'attention de la Commission européenne sur les retombées que ce dispositif provoquera sur les images placées volontairement par leurs auteurs sous licences libres. Le mécanisme envisagé est de nature à bafouer leur volonté de mettre à disposition et de permettre la réutilisation libre et gratuite de leurs créations, sans leur offrir une possibilité équitable de sortir du système.

Le cadre européen du droit d'auteur, fixé notamment par la directive 2001/29, vise à assurer aux auteurs un « haut niveau de protection » de leurs intérêts. Mais il est constant que le droit d'auteur constitue pour les créateurs autant une faculté d'interdire que d'autoriser les usages de leurs œuvres. En prenant le pas sur la volonté exprimée par les auteurs d'images partagées via les licences libres, la loi « liberté de création » et son décret d'application méconnaissent le droit exclusif reconnu aux auteurs de déterminer les conditions de réutilisation de leurs créations.

Par ailleurs, La Quadrature du Net attire l'attention sur le fait que la Cour de Justice de l'Union Européenne a récemment condamné la France dans sa décision « Doke et Soulier » pour avoir instauré en matière d'exploitation des livres indisponibles du XXème siècle un dispositif de gestion collective présentant des similarités fortes avec celui envisagé ici à propos de l'indexation des images. Les principes dégagés par la Cour à cette occasion rendent le décret d'application de la loi Création manifestement contraire au droit de l'Union et entraîneraient son annulation en cas de contestation en justice.

Dispositif visé par la loi Création et son décret d'application

L'article 30 de la loi Création vise les services automatisés de référencement d'images, définis comme « tout service de communication au public en ligne dans le cadre duquel sont reproduites et mises à la disposition du public, à des fins d'indexation et de référencement, des œuvres d'art plastiques, graphiques ou photographiques collectées de manière automatisée à partir de services de communication au public en ligne ».

Il s'agit donc des moteurs de recherche, tels que Google Search, Bing, Yahoo !, DuckDuckGo, Exalead, Qwant, etc. dont la plupart proposent des onglets permettant aux utilisateurs de faire des recherches ciblées à partir de requêtes pour trouver des images, en présentant celles-ci sous forme de vignettes avec un lien vers le site d'origine.

Afin de soumettre à redevance ces services, la loi prévoit que « La publication d'une œuvre d'art plastique, graphique ou photographique à partir d'un service de communication au public en ligne emporte la mise en gestion, au profit d'une ou plusieurs sociétés [...] agréées à cet effet par le ministre chargé de la culture, du droit de reproduire et de représenter cette œuvre dans le cadre de services automatisés de référencement d'images ».
L'effet de cette disposition est particulièrement large, puisqu'il vise toutes les images publiées en ligne au niveau mondial par des utilisateurs de services de communication au public, incluant donc des sites personnels ou des plateformes de partage de contenus.

Certaines sociétés de gestion collective vont bénéficier de ces dispositions car elles vont recevoir la prérogative de négocier avec les moteurs de recherche des conventions visant au versement d'une rémunération forfaitaire en contrepartie de l'autorisation des usages visés par la loi. En effet, le Ministère de la Culture délivrera des agréments aux sociétés qui en feront la demande en se basant sur des critères comme « la diversité des associés [de la société] à raison des catégories et du nombre des ayants droit » ou bien encore les « moyens mis en œuvre afin d’identifier et de retrouver les auteurs aux fins de répartir les sommes perçues ».

En France, plusieurs sociétés de gestion collective pourraient se porter candidates, telles que l'ADAGP ou la SAIF.

Impact sur les œuvres placées sous licence libre

Du fait de la formulation très générale du texte, le dispositif projeté par la France engloberait mécaniquement les œuvres placées volontairement sous licences libres par leurs créateurs.

Par licences libres, on doit entendre des contrats par lesquels les auteurs accordent des autorisations à portée générale aux utilisateurs potentiels de leurs créations. De nombreux types de licence libre existent, mais les plus fréquemment employées sont les licences Creative Commons, qui permettent aux auteurs par le biais d'un système d'options d'ouvrir plus ou moins largement les droits de réutilisation de leurs œuvres.

D'après les chiffres fournis par l'organisation Creative Commons International, le secteur dans lequel ces licences sont le plus largement utilisées est précisément celui des images fixes.

Grâce aux métadonnées embarquées sur les pages web par les personnes utilisant les outils fournis par Creative Commons pour exprimer leurs choix de licence, on estime que plus de 1,1 milliards d’œuvres accessibles en ligne sur Internet ont été placées sous licence Creative Commons. Sur ce total, 391 millions sont des images fixes, ce qui en fait la première catégorie d’œuvres, loin devant les textes (46,9 millions) ou les vidéos (18,4 millions). Ces estimations ont pu être réalisées grâce aux métadonnées embarquées sur les pages web des personnes utilisant les outils fournis par Creative Commons pour exprimer leurs choix de licence.

Les sites principaux diffusant des images sous Creative Commons sont Flickr (356 millions de photos), Wikimedia Commons (21,6 millions de fichiers dont la plupart sont des images) ou encore 500px (661 000 photos).

Sur ce total, Creative Commons est en mesure de déterminer que 66% de ces œuvres sont placées sous des licences autorisant explicitement l'usage commercial (CC-BY, CC-BY-SA, CC0 ou PDM).

Si l'on prend l'exemple d'une licence CC-BY (Attribution) , le résumé de la licence indique que l'auteur en choisissant cet instrument permet de :

• Partager — copier, distribuer et communiquer le matériel par tous moyens et sous tous formats
• Adapter — remixer, transformer et créer à partir du matériel

pour toute utilisation, y compris commerciale.

Or ce sont précisément ces droits, offerts par l'auteur par le biais de ce type de licences, qui vont être malgré tout placés en gestion collective obligatoire par l'effet de la loi Création, contre la volonté exprimée par les auteurs de les autoriser à titre gratuit.

Le décret précise que la ou les sociétés seront agréées par le Ministère de la Culture en fonction des « moyens mis en œuvre afin d’identifier et de retrouver les auteurs aux fins de répartir les sommes perçues ». Mais il paraît extrêmement douteux qu'elles soient en mesure de le faire pour les millions de créateurs dans le monde diffusant leurs images sous licences libres. Il en résulte que la part des sommes collectées au titre de ces images sera distribuée entre les membres de ces sociétés de gestion ou ira alimenter leurs « irrépartissables » qui servent à financer des projets culturels.
On est donc en présence d'un système qui ne respecte pas la volonté des auteurs d'autoriser les usages de leurs œuvres et qui sera structurellement incapable de leur reverser les sommes perçues en leur nom.

Un tel mécanisme est de nature à porter gravement atteinte à l'effectivité des licences libres, dont l'adoption est pourtant de plus en plus répandue et qui jouent un rôle important pour faciliter la diffusion en ligne des œuvres.

Le but premier des licences libres est de redonner aux créateurs le pouvoir de déterminer directement les conditions de réutilisation de leurs œuvres. Il s'agit pour les auteurs d'une manière d'exercer les droits exclusifs qui leur sont reconnus par la réglementation européenne, et notamment la directive 2001/29.

Depuis 2006, la loi française reconnaît dans l'article L 122-7-1 du Code de Propriété Intellectuelle que « L'auteur est libre de mettre ses oeuvres gratuitement à la disposition du public » et des licences telles que les Creative Commons constituent l'une des manières de faire usage de cette liberté, en garantissant une sécurité juridique aux utilisateurs.

Ce sont tous ces principes que la loi Création et son décret d'application viennent remettre en cause, en imposant la mise en gestion collective obligatoire de droits de reproduction et de représentation pourtant couverts par les licences libres choisies par les auteurs.

Compatibilité avec le droit de l'Union

Outre le fait que la solution retenue par la France paraît inique et injustifiée vis-à-vis des auteurs choisissant de diffuser leurs images sous licences libres, il existe de solides arguments pour affirmer que ce dispositif est contraire au droit de l'Union, notamment depuis que la CJUE a rendu sa décision dans l'affaire opposant la France à deux auteurs à propos de sa loi sur l'exploitation des livres indisponibles du XXIème siècle.

Dans son jugement, la Cour a estimé que la loi française ne pouvait pas imposer aux auteurs d'ouvrages indisponibles dans le commerce le transfert à une société de gestion collective de leurs droits de les reproduire et de les exploiter sous forme numérique. Le législateur français avait pourtant pris la précaution de ménager aux auteurs un délai de six mois pendant lequel ils pouvaient se manifester pour exprimer leur volonté de sortir du dispositif (opt-out). A défaut, la société de gestion collective obtenait le droit d'octroyer des licences d'exploitation des versions numériques des livres indisponibles figurant à son catalogue, à charge pour elles de reverser une rémunération aux auteurs.

La CJUE dans sa décision a commencé par considérer que cette dérogation aux droits exclusifs des auteurs ne figure pas parmi la liste fermée des exceptions prévues dans la directive 2001/29, que les États peuvent choisir de transposer. La Cour note que malgré le caractère limitatif de cette liste, les États ont néanmoins la possibilité de mettre en place, pour atteindre des buts d'intérêt général, des dispositifs de mise en gestion collective reposant sur un consentement implicite de l'auteur, à la condition que chaque auteur reçoive une information personnalisée lui permettant d'exercer effectivement son droit de retrait du mécanisme.

Si l'on compare ces principes dégagés par la Cour au dispositif envisagé par la loi Création et son décret d'application, on constate que ses règles de fonctionnement laissent encore moins de marge de manœuvre aux auteurs. Ceux-ci ne bénéficient en effet d'aucune option de retrait leur permettant de manifester leur volonté de ne pas être inclus dans le dispositif. L'article 30 de la loi se contente de prévoir qu' « à défaut de désignation par l'auteur ou par son ayant droit à la date de publication de l'œuvre, une des sociétés agréées est réputée gestionnaire de ce droit ». Cela signifie que l'auteur peut choisir parmi celles qui sont agréées la société qui recevra en gestion une partie de ses droits, mais pas s'opposer au principe même de ce transfert.

Par ailleurs, quand bien même le législateur aurait prévu un tel mécanisme d'opt-out, encore faudrait-il, pour respecter les principes dégagés par la Cour, que la société de gestion collective soit en mesure d'identifier et de contacter tous les titulaires de droits sur les images publiées au niveau mondial pour les informer et leur donner la possibilité de s'opposer. Or rien qu'en se limitant aux images sous licence Creative Commons, cela signifierait contacter plusieurs millions de créateurs répartis sous toute la planète, à partir d'informations difficiles à collecter. Il en résulte une impossibilité structurelle de se conformer aux principes fixés par la CJUE aux États lorsqu'ils mettent en place des systèmes de gestion collective obligatoire dans des hypothèses non prévues par la directive 2001/29.

Or tel est bien le cas du « droit de reproduire et de représenter cette œuvre dans le cadre de services automatisés de référencement d'images » visés par la loi Création et son décret d'application.

Partant, le dispositif envisagé par la France est manifestement contraire au droit de l''Union et encourt une annulation en justice sitôt qu'il sera mis en place.

Conclusions

Pour les raisons détaillées ci-dessus, La Quadrature du Net recommande que la Commission européenne émette un avis négatif à l'adoption par la France du décret d'application de l'article 30 de la loi Création.

Il n'est sans doute pas illégitime pour les États de chercher à réguler des acteurs comme les moteurs de recherche ou à mettre en place de nouvelles sources de rémunération pour les auteurs. Mais la poursuite de tels objectifs ne peut se faire au mépris de la volonté affichée par certains auteurs d'autoriser les usages commerciaux de leurs œuvres par le biais de licences libres notamment.

La mise en gestion collective obligatoire envisagée par la France constitue une atteinte au droit légitime de millions de créateurs de décider des conditions de diffusion et de réutilisation de leurs œuvres.

La jurisprudence de la Cour de Justice de l'Union Européenne vise à protéger les auteurs contre des mises en gestion collective de leurs droits sur lesquelles ils n'auraient pas suffisamment de prise et qui les déposséderaient de leur pouvoir de décision. Admettre le dispositif envisagé par la France reviendrait à bafouer cette pierre angulaire du droit d'auteur et constituerait un dangereux précédent susceptible de vider les licences libres de leur substance au profit de systèmes iniques de gestion collective des droits.

Télécharger les Observations à la Commission européenne

Paris, 8 décembre 2016 — La révision de la directive européenne ePrivacy sur la confidentialité des communications électroniques ne fait pas encore grand bruit mais cela ne signifie pas que le travail d'influence et la lutte des intérêts n'ont pas commencé. Au contraire, la proposition de texte de la Commission européenne étant prévue pour être publiée en janvier 2017, les groupes d'intérêts se pressent aux portes de l'exécutif européen pour tenter de mettre leur grain de sel dans le futur texte.

Pour deviner la teneur des discussions qui se déroulent en haut lieu, il suffit de lire les lettres ouvertes, les position papers et autres déclarations communes des ETNO, GSMA, DIGITALEUROPE et autres lobbys de l'industrie du numérique et des télécoms : tous appellent à l'abrogation pure et simple de la directive.

De la même façon que lors des négociations du règlement général sur la protection des données (RGDP), marteler nos arguments n'est pas suffisant face à la force de frappe et aux moyens de l'industrie, il nous faut donc passer en revue leurs arguments fallacieux et les examiner un par un.

Argument n°1 : La directive ePrivacy rajoute de la complexité juridique et légale alors même qu'il faudrait « restaurer la confiance des utilisateurs en réduisant la complexité règlementaire » [1]

Nous avons ici affaire à la magie de l'argument de la « rationalisation ». Cette logique sous-tend que l'environnement règlementaire est une trop grande contrainte pour les entreprises et qu'il faudrait donc le simplifier. Mais rappelons que « simplifier » ne doit jamais revenir à affaiblir », et encore moins à « supprimer » des garanties pour les utilisateurs.

D'autre part, cette contrainte est nécessaire afin d'encadrer les pratiques des entreprises pour qui nos données personnelles représentent une mine d'or et sont souvent la base de leur modèle économique. Le « laisser-faire » et « l'auto-régulation », toujours pronés par l'industrie, sont des leurres qui n'ont jamais apporté plus de protection et de confidentialité aux individus. La règlementation est là pour que les fournisseurs de services et autres acteurs respectent des règles basiques en matières de sécurité, de confidentialité et de vie privée. Partout où il n'y a pas de régulation claire, leurs pratiques tendent à une plus grande exploitation de notre vie privée à des fins lucratives. De même, les utilisateurs doivent pouvoir savoir globalement quelles sont leurs garanties et leurs droits : en utilisant chaque jour des dizaines de services différents, il est absolument nécessaire d'avoir une base commune de garanties qui permette à l'utilisateur de savoir à quoi il peut s'attendre.

---

Argument n°2 : La directive ePrivacy est rendue caduque par le nouveau Règlement Général sur la Protection des Données Personnelles. [2]

Voilà l'argument principal de l'indutrie : le nouveau règlement couvrirait déjà presque intégralement toutes les dispositions de la directive ePrivacy et celle-ci serait donc devenue inutile.

Pour rappel la directive ePrivacy est destinée à protéger la vie privée et la confidentialité des données dans le secteur des communications électroniques. C'est à dire qu'elle s'attache principalement aux communications du type messageries instantanées, SMS, communications par VoIP telles que Skype, emails, téléphonie, etc., pour lesquelles elle va fixer des obligations en matière de sécurité et de confidentialité pour les fournisseurs de services. Le Règlement général sur la protection des données adopté en avril 2016 et qui entrera en application en mai 2018 s'occupe, pour sa part, d'assurer la protection des données personnelles de chaque individu lors de l'utilisation de ces données par des entreprises privées autant que par des autorités publiques. Les dévelopements technologiques récents font que la majorité de la circulation et des transferts de ces données personnelles se passe sur internet via les nombreux sites et plateformes auxquels nous nous connectons.
Les deux textes ne sont donc pas équivalents : l'un (le Règlement) s'attache à des données personnelles qui sont produites par notre utilisation des services, l'autre (la directive ePrivacy) se concentre sur le respect de la vie privée et la confidentialité dans nos échanges avec d'autres correspondants.

L'adoption du nouveau règlement en avril 2016 ne rend donc en rien l'existence de la directive ePrivacy inutile. En effet il ne couvre pas directement certains droits fondamentaux comme le droit à la liberté de communication, le droit à la vie privée. D'autre part, la directive ePrivacy couvre des sujets qui vont au delà des données personnelles et qui ne sont donc pas couverts par le Règlement. C'est le cas par exemple des communications non sollicitées, telles que les spams ou la prospection directe.

Parce qu'elles sont omniprésentes dans notre quotidien et parce que les informations qu'elles véhiculent sont d'une grande valeur, les communications électroniques requièrent un régime de confidentialité et de sécurité spécifique qui soit le plus protecteur possible. La révision de la directive est une formidable opportunité de renforcer cette protection et ce tout en restant parfaitement cohérent avec la législation générale inscrite dans le futur Règlement.

---

Argument n°3 : La protection de la vie privée des utilisateurs est déjà garantie par le Règlement, il n'est donc pas nécessaire de conserver l'article 5.3 sur la confidentialité relative à votre appareil. [3]

La directive ePrivacy fut amendée en 2009 et un 3ème alinéa sur la confidentialité de « l'appareil terminal » ajouté (donc de votre téléphone - intelligent ou non - ou de votre ordinateur) . Celui-ci encadre le « stockage d'informations » et « l'accès à des informations déjà stockées sur l'appareil terminal » (comme par exemple les cookies), en les soumettant au consentement de l'utilisateur.

Il est aujourd'hui mal mis en oeuvre par les fournisseurs de services qui rendent le consentement non seulement obligatoire pour accéder à un service (ce qui supprime la nature « libre » du consentement ; il est indispensable de banir cette pratique) mais également non éclairé car noyé dans une quantité incompréhensible d'informations. En cela, l'article 5.3 a certes échoué à redonner le contrôle de ses données à l'utilisateur mais il reste un outil non seulement essentiel pour limiter les effets du tracking sur internet mais également unique car rien de semblable n'existe dans le Règlement général.

Cet article sur la confidentialité et l'intégrité de l'appareil terminal est donc à reformuler afin d'améliorer sa mise en oeuvre mais il doit également être élargi pour y faire rentrer les cas où l'appareil produit des informations par défaut, comme par exemple le tracking par fingerprint.

En somme, la protection de la vie privée passant également pas la confidentialité et l'intégrité de l'appareil de l'utilisateur, cet article est donc essentiel mais peut être rendu plus actuel et plus efficace en élargissant son contenu et en renforçant les garanties pour l'utilisateur (c'est bien cela dont les industries ne veulent pas).

---

Argument n°4 : Tous les services ne sont pas couverts par la directive. Or, selon les opérateurs télécoms : Il faut construire une situation équitable afin qu'ils ne soient désavantagés face aux méchants américains. [4]

Il est vrai que certains services, aujourd'hui omniprésents comme les fournisseurs de services de messagerie en ligne tels que Whatsapp, Signal, Viber (appelés aussi « OTT » : services over-the-top) n'existaient pas lorsque la directive ePrivacy fut adoptée en 2002 et ne sont pas soumis aux obligations en matière de sécurité et de confidentialité exigées par la directive ePrivacy.

Sur cette question, les opérateurs télécoms et les lobbys de l'industrie numérique ont développé une opposition de façade. Lorsque les opérateurs dénoncent une injustice face à ces nouveaux services en ligne, ceux-ci rétorquent qu'ils sont déjà couverts par le règlement général. En réalité, loin de s'opposer, tous tendent vers une conclusion commune : la nécessaire abrogation de la directive. Belle manœuvre de leur part mais finalement assez vaine puisque cette question du champ d'application de la directive devrait être réglée en amont par le nouveau code européen en matière de communications électroniques, actuellement débattu au parlement européen. Celui-ci prévoit de modifier la définition de « service de communications électroniques » pour y intégrer les nouveaux acteurs comme les services de messagerie en ligne.

Les obligations en matière de sécurité et de confidentialité doivent s'appliquer à tous les fournisseurs de services et ce de manière équivalente. Une égalité de traitement entre opérateurs, nouveaux services en ligne et futurs services à venir est nécessaire afin de pouvoir développer des règles plus ambitieuses pour la confidentialité et la sécurité de nos communications électroniques.

---

Argument n°5 : Les dérogations relatives à la sécurité nationale laissées aux États membres sont trop larges et mettraient en danger certaines pratiques des fournisseurs de services, comme la fourniture de services de messagerie chiffrés de bout en bout. [5]

Les États membres ont en effet grâce à l'article 15.1 de la directive ePrivacy la possibilité de déroger aux exigences prévues par la directive en matière de sécurité et de confidentialité pour des motifs de sécurité nationale, de défense et de sécurité publique. Ils peuvent ainsi adopter des mesures prévoyant, par exemple, la conservation des données (en France, c'est le cas avec l'article 6 de la Loi pour la Confiance en l'Économie Numérique de 2004 et le décret n°2011-219 du 25 février 2011) qui sont non seulement contraire à l'arrêt Digital Rights Ireland du 8 avril 2014 de la CJUE mais qui sont également susceptibles d'entrer en conflit avec certaines technologies mises en place par les fournisseurs de services tels que le chiffrement de bout en bout. Ces dérogations extrêmement larges laissées aux États membres sont donc incompatibles avec une exigence de sécurité et de confidentialité de nos communications électroniques.

Cela peut expliquer que les lobbys de l'industrie du numérique, tels que DIGITALEUROPE, s'opposent à l'élargissement du champ d'application du texte aux OTT car, du fait de l'article 15.1, cela reviendrait à compromettre la capacité de ces services à garantir la sécurité et la confidentialité des communications grâce au chiffrement.

Il y a donc un réel besoin de questionner ces larges dérogations laissées aux États membres pour des motifs aussi vastes que « sécurité nationale » et de drastiquement réduire le champ de l'article 15.1. Pour cela, la mention faite à la conservation des données doit être supprimée et il est indispensable de préciser que toute mesure nationale de surveillance relevant de ces exceptions devra être ciblée et effectuée sous le contrôle préalable d'une autorité judiciaire.
Afin de renforcer l'affirmation du droit à la vie privée et de rassurer les fournisseurs de services et les utilisateurs, La Quadrature du Net préconise également l'introduction d'un article à part entière sur l'importance des technologies de chiffrement. Celui-ci pourrait évoquer d'une part le rôle essentiel du chiffrement pour la sécurité et la confidentialité des communications électroniques et d'autre part rappeler aux fournisseurs de services ainsi qu'aux États membres leurs responsabilités en matière de promotion de ces techniques.

---

Argument n°6 : Vous allez tuer la compétitivité !!! [6]

Cet argument, d'une banalité sans nom dans le jargon des lobbyistes de l'industrie, sous-entend qu'interdire le développement de certaines pratiques ou certaines technologies considérées comme intrusives pour la vie privée désavantagerait l'Union européenne car les autres États ne disposent pas de réglementations aussi contraignantes.

Sauf qu'aujourd'hui les utilisateurs prennent de plus en plus conscience de ce que leurs données personnelles représentent pour eux et certains se tournent vers de services plus respectueux de la vie privée. Inutile d'espérer être compétitif en faisant la course aux modèles de trackings les plus intrusifs, il faut relever le défi qui se présente et voir en une règlementation ambitieuse et protectrice de la vie privée, l'incitation nécessaire à la fameuse innovation tant recherchée.

Mais ce changement d'orientation et ce changement de modèle économique des entreprises ne se fera pas grâce à la libre concurrence du marché. Sans une règlementation forte et ambitieuse, les entreprises n'accepteront jamais de risquer leurs profits immédiats. La révision de la directive ePrivacy est l'occasion révée pour promouvoir ce tournant idéologique dont l'économie numérique à tant besoin.

• 1. “Building consumer trust by reducing regulatory complexity”. ETNO, août 2016, page 15 : https://etno.eu/datas/publications/studies/DPTS_Study_DLA_04082016_ePrivacy_Final.pdf
• 2. “DIGITALEUROPE therefore believes that the GDPR creates the ideal scenario for the European Commission to achieve its stated objective”. DIGITALEUROPE, octobre 2016, page 2 : http://www.digitaleurope.org/DesktopModules/Bring2mind/DMX/Download.aspx?Command=Core_Download&EntryId=2306&language=en-US&PortalId=0&TabId=353
• 3. "DIGITALEUROPE does not believe that maintaining Article 5(3) is necessary to achieve the high level protection of consumers privacy, already guaranteed by the GDPR". DIGITALEUROPE, octobre 2016, page 5 : http://www.digitaleurope.org/DesktopModules/Bring2mind/DMX/Download.aspx?Command=Core_Download&EntryId=2306&language=en-US&PortalId=0&TabId=353
• 4. “telecom providers are subject to the GDPR and the sector - specific rules ofthe ePrivacy Directive as regards the processing of personal data (notably location and traffic data ), whereas the – mainly US-based– over-the-top players that are offering functionally equivalent services (such as Whatsapp and Skype) are only subject to the GDPR,and not to the ePrivacy Directive.” ETNO, août 2016, page 4 : https://etno.eu/datas/publications/studies/DPTS_Study_DLA_04082016_ePrivacy_Final.pdf
• 5. "Lastly, we highlighted that an expansion of the ePD to cover OTT services could undermine the very privacy it is seeking to protect. Many of these services are engineered to applyt he best possible encryption technology, but the ePD could have the absurd effect of undermining their ability to guarantee the security and confidentially of the communication through the use encryption due to the fact the Article 15 (1) allows Member States to restrict this right." DIGITALEUROPE, juillet 2016 : http://www.digitaleurope.org/Digital-Headlines/Story/newsID/501
• 6. « This would not only disproportionately interfere with the freedom to conduct a business and the freedom of contract, but also undercut the EU’s competitiveness in the data-driven and knowledge-based digital economy. » DIGITALEUROPE, octobre 2016, page 7 : http://www.digitaleurope.org/DesktopModules/Bring2mind/DMX/Download.aspx?Command=Core_Download&EntryId=2306&language=en-US&PortalId=0&TabId=353

Paris, 5 décembre 2016 — Alors que la France s’apprête à accueillir le Sommet mondial du Partenariat pour un Gouvernement Ouvert, plusieurs associations pointent les contradictions du gouvernement. Certaines ne s’y rendront pas.

Ce bilan du « gouvernement ouvert » à la française co-signé par les associations et collectifs suivants : April, BLOOM, DemocracyOS France, Fais ta loi, Framasoft, Ligue des Droits de l’Homme, Regards Citoyens, République citoyenne, SavoirsCom1, et La Quadrature du Net.

Derrière un apparent « dialogue avec la société civile », la France est loin d'être une démocratie exemplaire

Le « gouvernement ouvert » est une nouvelle manière de collaborer entre les acteurs publics et la société civile, pour trouver des solutions conjointes aux grands défis auxquels les démocraties font face : les droits humains, la préservation de l’environnement, la lutte contre la corruption, l’accès pour tous à la connaissance, etc.

Soixante-dix pays se sont engagés dans cette démarche en adhérant au Partenariat pour un Gouvernement Ouvert (PGO), qui exige de chaque État la conception et la mise en œuvre d'un Plan d’action national, en collaboration étroite avec la société civile.

La France a adhéré au Partenariat pour un Gouvernement Ouvert en avril 2014, et publié son premier Plan d’action national en juillet 2015. Depuis octobre 2016, le gouvernement français co-préside le PGO, avec l’association américaine WRI (World Resource Institute) et la France accueille le Sommet mondial du PGO à Paris, du 7 au 9 décembre 2016, présenté comme la « COP 21 de la démocratie ».

En tant que « pays des droits de l’Homme », nation co-présidente et hôte du Sommet mondial du PGO, on pourrait attendre de la France qu’elle donne l’exemple en matière de gouvernement ouvert.

Hélas, à ce jour, les actes n’ont pas été à la hauteur des annonces, y compris dans les trois domaines que la France elle-même considère prioritaires (1. Climat et développement durable ; 2. Transparence, intégrité et lutte contre la corruption ; 3. Construction de biens communs numériques) et ce, malgré l’autosatisfaction affichée du gouvernement. Pire, certaines décisions et pratiques, à rebours du progrès démocratique promu par le Partenariat pour un gouvernement ouvert, font régresser la France et la conduisent sur un chemin dangereux.

Les associations signataires de ce communiqué dressent un bilan critique et demandent au gouvernement et aux parlementaires de revoir certains choix qui s'avèrent radicalement incompatibles avec l’intérêt général et l’esprit du PGO, et de mettre enfin en cohérence leurs paroles et leurs actes.

Lire le document complet

Les co-signataires

• L'April est la principale association de promotion et de défense du logiciel libre dans l'espace francophone. La mobilisation de ses bénévoles et de son équipe de permanents lui permet de mener des actions nombreuses et variées en faveur des libertés informatiques.
• BLOOM, Fondée en 2005 par Claire Nouvian, BLOOM est entièrement dévouée aux océans et à ceux qui en vivent. Sa mission est d’œuvrer pour le bien commun en mettant en œuvre un pacte durable entre l’homme et la mer.
• DemocracyOS France est une association qui promeut l'usage d'une plateforme web open source permettant de prendre des décisions de manière transparente et collective.
• Fais Ta Loi est un collectif qui a pour but d'aider les publics les plus éloignés du débat démocratique à faire entendre leur voix au Parlement.
• Framasoft est un réseau dédié à la promotion du « libre » en général et du logiciel libre en particulier.
• La Ligue des Droits de l’Homme : agit pour la défense des droits et libertés, de toutes et de tous. Elle s’intéresse à la citoyenneté sociale et propose des mesures pour une démocratie forte et vivante, en France et en Europe.
• La Quadrature du Net : La Quadrature du Net est une association de défense des droits et libertés des citoyens sur Internet.
• Regards Citoyens est un collectif transpartisan né en 2009 qui promeut la transparence démocratique et l'ouverture des données publiques pour alimenter le débat politique. Il est a l'initiative d'une douzaine d'initiatives dont NosDeputés.fr et LaFabriqueDeLaLoi.fr.
• République citoyenne est une association, créée en 2013, qui a pour but de stimuler l’esprit critique des citoyens sur les questions démocratiques et notamment sur le gouvernement ouvert.
• SavoirsCom1 est un collectif dédié à la défense de politiques publiques en faveur des Communs de la connaissance.

Paris, le 1er décembre 2016 — La Quadrature du Net a choisi de publier l'état de ses réflexions sur le délit d'entrave numérique à l'interruption volontaire de grossesse, dont la discussion législative est prévue à l'Assemblée nationale à partir du jeudi 1er décembre 2016. Sur ce dossier complexe où interfèrent plusieurs droits fondamentaux, il est important de prendre le temps de mesurer l'impact d'une création d'un nouveau délit tel que proposé par le gouvernement et les parlementaires de la majorité présidentielle.

[texte modifié - essentiellement dans sa conclusion - le 1er décembre 2016 à 15h40]

La question de l'entrave numérique à l'interruption volontaire de grossesse s'est posée suite au constat de l'existence de sites Internet, très bien référencés dans les moteurs de recherche, qui sont dès lors une source d'information pour les personnes cherchant à se renseigner sur l'IVG ou sur la conduite à tenir lors d'une grossesse non désirée. Ces sites se donnent pour but de freiner le recours à l'IVG chez les femmes qui cherchent de l'information. Leur apparence, leur discours, sont dénoncés comme trompeurs.

La Quadrature du Net tient à rappeler que le droit à l'interruption volontaire de grossesse est l'une des composantes d'un droit fondamental, le droit au respect de la vie privée et familiale. En tant qu'organisation de défense des droits humains et de leur exercice effectif, La Quadrature du Net condamne toute action visant délibérément à entraver l'exercice de ce droit.

Cela étant rappelé, l'opposition idéologique au droit à l'IVG n'est pas un délit en France, et comme toute opinion non délictueuse elle est protégée par le droit à la liberté d'opinion, d'expression et d'information.

La Quadrature du Net relève également que dans le cas précis d'une volonté de la puissance publique de freiner l'influence de certains sites et groupes auprès de la population susceptible de recourir au droit à l'interruption volontaire de grossesse, il semble qu'aucune disposition légale actuelle touchant au numérique ne corresponde à cette situation.

L'article unique de la proposition de loi souhaite élargir le délit d'entrave à l'IVG, qui existe déjà mais concerne actuellement des entraves physiques ou psychologiques exercées directement auprès des femmes concernées sur les lieux physiques de pratique de l'IVG ou de rencontre avec des personnels destinés à apporter une aide médicale et psychologique. Cette extension concernerait la volonté d'entrave faite :

[soit] en diffusant ou en transmettant par tout moyen, notamment par des moyens de communication au public par voie électronique ou de communication au public en ligne, des allégations, indications ou présentations faussées et de nature à induire intentionnellement en erreur, dans un but dissuasif, sur la nature, les caractéristiques ou les conséquences médicales d’une interruption volontaire de grossesse ou à exercer des pressions psychologiques sur les femmes s’informant sur une interruption volontaire de grossesse ou sur l’entourage de ces dernières.

Cette proposition de loi peut être découpée en deux parties distinctes.

La première concerne la notion de pression psychologique sur les femmes et leur entourage en matière d'IVG.

La notion de pression psychologique sur les femmes et leur entourage devrait être interprétée strictement, c'est-à-dire par « communication directe adressée aux femmes ou leur entourage pour faire pression sur elles de façon à les dissuader de recourir à l'avortement ». La volonté d'y inclure ce qui relève de la mise à disposition de contenus sur Internet dont l'accès est volontaire de la part de l'utilisateur risque de rendre la notion de pression psychologique bien trop extensible et, appliquée éventuellement dans l'avenir à d'autres opinions, de devenir une source de dérives importante.

L'autre aspect de la loi concerne la lutte contre les pratiques de désinformation, notamment sur Internet, induisant intentionnellement en erreur.

L'inclusion de la simple publication de contenus dans le délit d'entrave numérique créerait un précédent d'atteinte à la liberté d'opinion et d'expression inacceptable. Le fait que la visibilité de ces contenus soit excessive ne peut être corrigé par la création d'un délit, mais relève de la mobilisation positive sur Internet en faveur des droits, ou de la lutte contre la position dominante de moteurs de recherche et la façon dont ils en abusent. La création d'un délit pour mise à disposition de contenus, fussent-ils douteux, écoeurants ou opposés à la liberté de choix des personnes, porte indiscutablement atteinte à la liberté d'expression. Or, cette dernière n'est pas faite uniquement pour ceux avec qui nous sommes d'accord.

Devant cette proposition de loi qui part d'une intention louable (faire respecter le droit à l'IVG et l'information qui y est liée) mais qui cherche à masquer le manque d'implication du gouvernement et des pouvoirs publics dans la protection des droits des femmes, La Quadrature du Net ne peut que marquer son opposition à l'argumentation juridique employée qui porte atteinte à d'autres droits fondamentaux que sont la liberté d'expression et d'opinion. Il serait souhaitable que les pouvoirs public renforcent leur soutien et leur implication dans les structures travaillant avec et pour les personnes ayant recours à l'IVG, afin de combattre les atteintes portées aux droits des femmes et des autres minorités. Ce serait probablement plus utile que de créer un nouveau délit porteur dans son fondement de problèmes juridiques et d'atteinte aux droits très lourds, d'autant qu'il existe un arsenal législatif (abus de position de faiblesse ou de situation d'ignorance, article 223-15-2 du code pénal … ) largement suffisant mais malheureusement sous-utilisé.

Paris, 14 novembre 2016 — Le décret TES publié par le gouvernement, comme par effraction, le 28 octobre dernier trahit les principes démocratiques tant sur la forme (la manière dont il a été élaboré et publié) que sur le fond (la création d'un fichier centralisant les données d'identité, de filiation et de biométrie de l'ensemble des Français).

Communiqué commun de l'Observatoire des Libertés et du Numérique (OLN)1

La légalité du décret est assise sur un ensemble législatif ancien, porteur, en lui-même, des dangers que ce fichier TES met brutalement en lumière aujourd'hui. L'article 27 de la loi dite « informatique et libertés » de 1978 laisse au gouvernement la faculté d'instituer, par un simple décret, tous traitements de données à caractère personnel pour le compte de l'État, ou touchant à la sécurité nationale. Pire, depuis 2004, les données biométriques sont soumises au même régime, au mépris de leur sensibilité extrême. De cette honteuse manœuvre, notre démocratie devrait tirer toutes conséquences : l'absence de contrôle parlementaire sur la création de fichiers concernant les individus par l'exécutif doit être combattue.

La CNIL, dont il faut rappeler qu'elle doit sa création précisément à la protestation (virulente) de nombreux citoyens contre la création d'un fichier similaire au fichier TES en 1974, le fichier SAFARI, a obtenu le pouvoir et le devoir de rendre des avis motivés sur les décisions de créations de fichiers de données à caractère personnel mis en œuvre notamment par l'État. Or, la capacité de la CNIL à freiner, voire contrer les projets étatiques de fichage s'est trouvée encore entamée par la réduction de son pouvoir d'avis conforme à un inoffensif avis préalable, mais non contraignant, par la loi du 6 août 2004.

Le tour de passe-passe est ici flagrant : le gouvernement s'appuie sur la loi même qu'il avait combattue lorsqu'il était dans l'opposition : la loi du 27 mars 2012 relative à la protection de l’identité, largement censurée par le Conseil constitutionnel. Autrement dit, sur le plan de la procédure de création d'un fichier aussi important que le fichier TES, qui rassemble l'ensemble des informations d'état civil, de filiation, la photo d'identité, le domicile, éventuellement le courriel, mais également la couleur des yeux ou les empreintes digitales, le gouvernement ne souffre aucun contre-pouvoir. En procédant par décret il s’affranchit d’une délibération démocratique au parlement et l'approbation pleine et entière de la CNIL n'étant pas requise, il va même jusqu’à en nier les critiques essentielles !

Outre ces problèmes structurels dans le processus de création d'un fichier, la prévision d'une dérive de ce nouveau fichier gigantesque ne relève pas du pur fantasme. Elle découle de l'observation méthodique des mutations connues des fichiers précédemment constitués, notamment à des fins policières. Entre l'origine d'un fichier et son utilisation ultérieure, il y a systématiquement des dérives : changement de finalité, érosion progressive du contrôle, modification du champ d'application ou de l'étendue des accès à ce fichier... Même suite à des condamnations, y compris par la Cour Européenne des Droits de l'Homme, les fichiers ne sont pas, ou peu et tardivement corrigés. La France a été condamnée en 2013 par la CEDH pour le FAED (Fichier Automatisé des Empreintes Digitales) au motif que « La conservation des empreintes digitales par ce fichier s’analyse en une atteinte disproportionnée, ne peut passer pour nécessaire dans une société démocratique, et ne traduit pas un juste équilibre entre les intérêts publics et privés concurrents en jeu ». Pourtant ce fichier n’a été corrigé à la marge que deux ans après l'arrêt de la CEDH. Quant au FNAEG (Fichier National Automatisé des Empreintes Génétiques) créé pour ficher les auteurs d'infractions sexuelles condamnés par la justice, il est passé en 15 ans d'un fichier sous contrôle judiciaire et limité à un fichier policier recueillant l'ADN de toutes les personnes simplement suspectes dans les enquêtes pour les délits les moins graves, même sans condamnation et dont le refus de prélèvement est susceptible de constituer un délit.

C'est ainsi que l'exclusion annoncée de l'utilisation du fichier TES à des fins d'identification et de comparaison (pour les données biométriques et les empreintes digitales) ne suffit pas à le rendre légitime. D'abord parce que des accès privilégiés sont d'ores et déjà autorisés pour certains services de police et du renseignement. Ensuite parce qu'aucune limitation n'est imposée en matière de réquisitions judiciaires : il est alors à craindre que le fichier TES devienne pour la justice, quel que soit le motif de l'enquête, une réserve d'empreintes et de photographies bien plus massive que le FAED et le TAJ (Traitement des Antécédents Judiciaires), faisant de tout citoyen un suspect en puissance.

Ces questions sur le formalisme, les conditions d'élaboration et le contrôle juridique du fichier TES ne sont cependant pas les seules sources d'inquiétude de l'Observatoire des Libertés et du Numérique, tout comme de très nombreuses voix qui se sont élevées depuis deux semaines sur le sujet. Les interrogations sur la sécurité du fichier, sur les choix techniques qui ont été faits et donc sur les garanties d'intégrité qui sont données par le gouvernement sont également nombreuses, étayées et suffisamment graves pour demander une annulation du décret.

Le choix de la centralisation du fichier est un choix dangereux : il expose un ensemble massif et précieux de données personnelles à la portée de puissances hostiles ou de criminels expérimentés. Les promesses réitérées de chiffrement robuste et de sécurisation avancée faites par le ministre de l'Intérieur seront évidemment invérifiables, et pourront difficilement compenser l'absence de résilience qu'aurait apportée une décentralisation du fichier, soit au niveau du porteur individuel de titre d'identité, soit au niveau des différentes composantes du fichier. Choisir la centralisation des données d'identification de l'ensemble des Français c'est choisir d'être une cible très alléchante, comme l'ont montré les attaques subies par des bases de données israéliennes, turques ou philippines. La question n'est donc pas : TES sera-t-il attaqué, mais : quand le sera-t-il ?

Les modalités de destruction des données à la fin du délai de conservation n'ont pas été détaillées dans le décret ou ailleurs. Pourtant, la question de l'effacement est cruciale, notamment en ce qui concerne les données biométriques, puisque ces données sont inaliénables de l'identité de l'individu. Il n'est donc pas possible pour l'individu de changer ces données.

Le choix de conserver les données biométriques sous forme brute dans le fichier plutôt que de stocker uniquement des gabarits permettant l'identification voulue, sans exposer davantage l'intimité des millions de personnes concernées, est à nouveau un choix surprenant et inquiétant. Il laisse la porte ouverte à des falsifications en cas de vol de données, et à des évolutions futures sur les identifications biométriques possibles. Il est nécessaire de rappeler que cette année, des propositions de loi tendant à coupler vidéosurveillance et reconnaissance faciale ont été déposées au Parlement français, sans soulever de la part du gouvernement de condamnation claire et immédiate. Il y a tout à craindre d'une évolution future de l'utilisation de ce fichier global de la population française. Et que dire de la marge d'erreur de 3% dans l'identification, qui est porteuse de nombreuses dérives si l'on considère ce fichier comme l'alpha et l'oméga de l'identification des individus ? Les droits d'accès et de rectification n'auront pas d'impact s'agissant des données les plus sensibles.

Les informations publiées dans la presse sur les raisons de création du fichier TES (supprimer des postes de fonctionnaires et rationaliser la délivrance des titres d'identité) interrogent sur la responsabilité de l'administration et de la technocratie dans l'érosion des libertés et l'évitement du processus parlementaire et démocratique. L'utilité pratique ou la centralisation des informations ne peuvent être des arguments pour justifier la création de fichiers sensibles et d'ampleur nationale tels que le fichier TES, sous peine de soumettre à l'administration les valeurs fondamentales que nous défendons.

Au-delà des considérations juridiques et techniques, il convient enfin de reconsidérer le rapport que nous avons avec l'identification des individus, dans une perspective de défense du droit au respect de la vie privée. Si la volonté d'empêcher techniquement toute falsification peut sembler légitime, l'histoire nous rappelle combien la capacité à résister à des dérives autoritaires passe par la faculté d'échapper au contrôle étatique, notamment sur son identité. Les fichiers centralisés ne font pas les régimes autoritaires, mais tout régime autoritaire s'appuie sur un fichage de sa population. L'ajout de nombreux marqueurs biométriques aux éléments de filiation ou d'état civil renforce l'attachement de l'individu, par son corps, à l'État. Nul ne peut exclure des usages liberticides d'un tel fichier à l'avenir, et toute évolution vers plus d'identification devrait être discutée démocratiquement dans cette perspective.

L'Observatoire des libertés et du numérique se joint aux voix qui réclament l'abrogation du décret TES.

• 1. L'Observatoire des Libertés et du Numérique regroupe le Syndicat de la magistrature, le Syndicat des Avocats de France, la Ligue des droits de l'Homme, La Quadrature du Net, le Cecil et le Creis-Terminal.