Retour à la section

AVIS n°2015-0001 du 20 janvier 2015

JORF n°0033 du 8 février 2015

L'Autorité de régulation des communications électroniques et des postes (ci-après, l'ARCEP),
Vu le code des postes et des communications électroniques (ci-après, CPCE), notamment son article L. 36-5 ;
Vu les articles 6 et 6-1 de la loi n° 2004-575 du 21 juin 2004 modifiée pour la confiance dans l'économie numérique ;
Vu le courrier en date du 19 décembre 2014 par lequel le ministre de l'intérieur a saisi l'ARCEP, pour avis, d'un projet de décret pris pour l'application de l'article 6-1 de la loi n° 2004-575 du 21 juin 2004 modifiée pour la confiance dans l'économie numérique ;
Après en avoir délibéré le 20 janvier 2015,
Formule l'avis suivant :
Conformément à l'article L. 36-5 du CPCE, le ministre de l'intérieur a sollicité l'avis de l'ARCEP sur un projet de décret relatif à la protection des internautes contre les sites provoquant à des actes de terrorisme ou en faisant l'apologie et les sites diffusant des images et représentations de mineurs à caractère pornographique, pris pour l'application de l'article 6-1 de la loi n° 2004-575 du 21 juin 2004 modifiée pour la confiance dans l'économie numérique (LCEN).
L'article 6-1 de la LCEN, introduit par la loi n° 2014-1353 du 13 novembre 2014 renforçant les dispositions relatives à la lutte contre le terrorisme, prévoit la possibilité pour l'autorité administrative compétente d'ordonner, en l'absence de retrait des contenus illégaux par l'éditeur ou l'hébergeur sous vingt-quatre heures (1), aux fournisseurs d'accès à internet (FAI) d'empêcher l'accès à des sites qui « [provoqueraient] directement à des actes de terrorisme ou [feraient] publiquement l'apologie de ces actes » (faits réprimés par l'article 421-2-5 du code pénal) ou qui contiendraient des contenus pédopornographiques (article 227-23 du code pénal).
Le projet de décret dont l'Autorité est saisie a pour objet de préciser les modalités de blocage de ces sites par les FAI. Il désigne la direction générale de la police nationale, et plus spécifiquement l'Office central de lutte contre la criminalité liée aux technologies de l'information et de la communication (OCLCTIC), en tant qu'autorité compétente pour mettre en œuvre les dispositions de l'article 6-1 de la LCEN.
Les dispositions du projet de décret appellent les observations suivantes de l'Autorité.

  1. Sur les modalités de blocage

L'article 2 du projet de décret précise que l'OCLCTIC doit fournir aux FAI, pour chaque adresse électronique dont elle demande le blocage, « soit un nom de domaine (DNS), soit un nom d'hôte caractérisé par un nom de domaine précédé d'un nom de serveur ».
Il ressort des éléments recueillis par les services de l'ARCEP auprès des services de l'Etat compétents que l'information transmise aux FAI, au titre de l'adresse électronique, serait constituée soit par un nom de domaine (par exemple : arcep.fr) défini dans le cadre du système d'adressage par domaines (DNS) et inscrit auprès d'un office d'enregistrement, soit par un nom d'hôte, lui-même composé d'un nom de domaine précédé d'un nom de serveur (par exemple : www.arcep.fr).
Le projet de décret prévoit que, dans un délai de vingt-quatre heures à compter de la transmission de la liste des adresses électroniques à bloquer, les FAI doivent empêcher « par tout moyen approprié l'accès ou le transfert aux services fournis par ces adresses » (article 3).
L'Autorité relève que le projet de décret qui lui est soumis ne définit pas expressément la technique de blocage qui devra être utilisée par les FAI.
Il ressort néanmoins du courrier du 19 décembre 2014 par lequel le ministre de l'intérieur a saisi l'Autorité pour avis, ainsi que des explications données par le ministre de l'intérieur devant l'Assemblée nationale le 17 septembre 2014 lors de l'examen du projet de loi renforçant les dispositions relatives à la lutte contre le terrorisme, que « la technique de blocage choisie est la technique dite DNS consistant à intervenir sur le nom de domaine ».
Cette technique est déjà employée par les FAI pour procéder aux blocages de sites dans le cadre d'injonctions de l'autorité judiciaire, notamment en application du décret n° 2011-2122 du 30 décembre 2011 relatif aux modalités d'arrêt de l'accès à une activité d'offre de paris ou de jeux d'argent et de hasard en ligne non autorisée, qui impose aux FAI de recourir à cette technique. L'Autorité relève que si cette solution est relativement simple à mettre en œuvre, elle peut également présenter des risques de contournement (2).
Dans ce contexte, l'Autorité estime important de souligner que l'obligation pesant sur les FAI d'empêcher « par tout moyen approprié l'accès ou le transfert aux services fournis par ces adresses » ne doit pas conduire à faire peser sur ces acteurs des obligations allant au-delà de la mise en œuvre des moyens de blocage usuels. En particulier, il ne serait ni raisonnable ni proportionné d'exiger des FAI qu'ils garantissent l'impossibilité pour des internautes ayant recours à des méthodes de contournement d'accéder aux services fournis par les adresses électroniques concernées, ou qu'ils soient soumis, en contradiction avec les dispositions du 7° de l'article 6 de la LCEN, à une « obligation générale de surveiller les informations qu'[ils] transmettent ou stockent [ou] à une obligation générale de rechercher des faits ou des circonstances révélant des activités illicites ».
Par ailleurs, l'Autorité rappelle que les opérateurs sont tenus, conformément aux dispositions du CPCE (3), de respecter le principe de neutralité au regard du contenu des messages transmis. Ce principe, pas davantage que les dispositions relatives à la neutralité de l'internet qui sont actuellement examinées au niveau européen (4), si elles devaient être adoptées, ne font pas par eux-mêmes obstacle à la mise en œuvre par les FAI des mesures de blocage pouvant être ordonnées conformément à la loi.
Néanmoins, l'Autorité a souligné dans le cadre du rapport qu'elle a rendu en septembre 2012 au Parlement et au Gouvernement sur la neutralité de l'internet que « le respect des obligations légales, en particulier si elles leur laissent une marge d'initiative sur les méthodes à mettre en œuvre, ne dispense pas les opérateurs de porter une attention particulière aux possibles effets secondaires non souhaités de tout blocage qui ne se limiterait pas strictement à ce qui est requis ».
Ainsi, il convient que les autorités compétentes, et en premier lieu l'ARCEP, puissent s'assurer du caractère efficace et proportionné des mesures mises en œuvre par les FAI pour respecter leurs obligations, afin notamment de contrôler que les techniques utilisées ne conduisent pas à empêcher l'accès à des adresses électroniques dont le blocage n'a pas été ordonné par l'OCLCTIC. L'Autorité souligne à cet égard que l'obligation pour les FAI, prévue par le projet de décret, d'assurer la confidentialité des données qui leur sont confiées dans le cadre de la mise en œuvre du blocage ne saurait faire obstacle aux pouvoirs, conférés à l'ARCEP par la loi, portant sur le recueil auprès des opérateurs des données nécessaires pour lui permettre d'exercer ses missions.
En outre, l'Autorité note que, si le projet de décret prévoit le délai dans lequel les FAI doivent s'assurer du blocage des adresses ajoutées sur la liste tenue par l'OCLCTIC, le texte n'encadre pas le délai dans lequel les FAI doivent rétablir l'accès à une adresse électronique qui aurait été supprimée de cette liste. L'Autorité estime nécessaire que le projet de décret soit complété sur ce point afin de s'assurer que les blocages d'accès soient limités à ce qui est strictement prévu par la loi.

  1. Sur les délais de mise en œuvre

L'Autorité relève que le projet de décret prévoit un mécanisme de compensation des surcoûts résultant des obligations mises à la charge des FAI.
La réalisation de développements informatiques ou le déploiement de systèmes d'information pourrait, en pratique, s'avérer nécessaire pour que les FAI soient en mesure de répondre à l'ensemble des demandes dans un délai de vingt-quatre heures. Dans cette mesure, il conviendrait que le décret prévoie des délais raisonnables de mise en œuvre, compatibles avec les nécessités opérationnelles de l'action publique en matière de lutte contre le terrorisme et la pédopornographie.
Le présent avis sera transmis au ministre de l'intérieur et sera publié au Journal officiel de la République française.

1 version

Historique des versions

Version 1

L'Autorité de régulation des communications électroniques et des postes (ci-après, l'ARCEP),

Vu le code des postes et des communications électroniques (ci-après, CPCE), notamment son article L. 36-5 ;

Vu les articles 6 et 6-1 de la loi n° 2004-575 du 21 juin 2004 modifiée pour la confiance dans l'économie numérique ;

Vu le courrier en date du 19 décembre 2014 par lequel le ministre de l'intérieur a saisi l'ARCEP, pour avis, d'un projet de décret pris pour l'application de l'article 6-1 de la loi n° 2004-575 du 21 juin 2004 modifiée pour la confiance dans l'économie numérique ;

Après en avoir délibéré le 20 janvier 2015,

Formule l'avis suivant :

Conformément à l'article L. 36-5 du CPCE, le ministre de l'intérieur a sollicité l'avis de l'ARCEP sur un projet de décret relatif à la protection des internautes contre les sites provoquant à des actes de terrorisme ou en faisant l'apologie et les sites diffusant des images et représentations de mineurs à caractère pornographique, pris pour l'application de l'article 6-1 de la loi n° 2004-575 du 21 juin 2004 modifiée pour la confiance dans l'économie numérique (LCEN).

L'article 6-1 de la LCEN, introduit par la loi n° 2014-1353 du 13 novembre 2014 renforçant les dispositions relatives à la lutte contre le terrorisme, prévoit la possibilité pour l'autorité administrative compétente d'ordonner, en l'absence de retrait des contenus illégaux par l'éditeur ou l'hébergeur sous vingt-quatre heures (1), aux fournisseurs d'accès à internet (FAI) d'empêcher l'accès à des sites qui « [provoqueraient] directement à des actes de terrorisme ou [feraient] publiquement l'apologie de ces actes » (faits réprimés par l'article 421-2-5 du code pénal) ou qui contiendraient des contenus pédopornographiques (article 227-23 du code pénal).

Le projet de décret dont l'Autorité est saisie a pour objet de préciser les modalités de blocage de ces sites par les FAI. Il désigne la direction générale de la police nationale, et plus spécifiquement l'Office central de lutte contre la criminalité liée aux technologies de l'information et de la communication (OCLCTIC), en tant qu'autorité compétente pour mettre en œuvre les dispositions de l'article 6-1 de la LCEN.

Les dispositions du projet de décret appellent les observations suivantes de l'Autorité.

1. Sur les modalités de blocage

L'article 2 du projet de décret précise que l'OCLCTIC doit fournir aux FAI, pour chaque adresse électronique dont elle demande le blocage, « soit un nom de domaine (DNS), soit un nom d'hôte caractérisé par un nom de domaine précédé d'un nom de serveur ».

Il ressort des éléments recueillis par les services de l'ARCEP auprès des services de l'Etat compétents que l'information transmise aux FAI, au titre de l'adresse électronique, serait constituée soit par un nom de domaine (par exemple : arcep.fr) défini dans le cadre du système d'adressage par domaines (DNS) et inscrit auprès d'un office d'enregistrement, soit par un nom d'hôte, lui-même composé d'un nom de domaine précédé d'un nom de serveur (par exemple : www.arcep.fr).

Le projet de décret prévoit que, dans un délai de vingt-quatre heures à compter de la transmission de la liste des adresses électroniques à bloquer, les FAI doivent empêcher « par tout moyen approprié l'accès ou le transfert aux services fournis par ces adresses » (article 3).

L'Autorité relève que le projet de décret qui lui est soumis ne définit pas expressément la technique de blocage qui devra être utilisée par les FAI.

Il ressort néanmoins du courrier du 19 décembre 2014 par lequel le ministre de l'intérieur a saisi l'Autorité pour avis, ainsi que des explications données par le ministre de l'intérieur devant l'Assemblée nationale le 17 septembre 2014 lors de l'examen du projet de loi renforçant les dispositions relatives à la lutte contre le terrorisme, que « la technique de blocage choisie est la technique dite DNS consistant à intervenir sur le nom de domaine ».

Cette technique est déjà employée par les FAI pour procéder aux blocages de sites dans le cadre d'injonctions de l'autorité judiciaire, notamment en application du décret n° 2011-2122 du 30 décembre 2011 relatif aux modalités d'arrêt de l'accès à une activité d'offre de paris ou de jeux d'argent et de hasard en ligne non autorisée, qui impose aux FAI de recourir à cette technique. L'Autorité relève que si cette solution est relativement simple à mettre en œuvre, elle peut également présenter des risques de contournement (2).

Dans ce contexte, l'Autorité estime important de souligner que l'obligation pesant sur les FAI d'empêcher « par tout moyen approprié l'accès ou le transfert aux services fournis par ces adresses » ne doit pas conduire à faire peser sur ces acteurs des obligations allant au-delà de la mise en œuvre des moyens de blocage usuels. En particulier, il ne serait ni raisonnable ni proportionné d'exiger des FAI qu'ils garantissent l'impossibilité pour des internautes ayant recours à des méthodes de contournement d'accéder aux services fournis par les adresses électroniques concernées, ou qu'ils soient soumis, en contradiction avec les dispositions du 7° de l'article 6 de la LCEN, à une « obligation générale de surveiller les informations qu'[ils] transmettent ou stockent [ou] à une obligation générale de rechercher des faits ou des circonstances révélant des activités illicites ».

Par ailleurs, l'Autorité rappelle que les opérateurs sont tenus, conformément aux dispositions du CPCE (3), de respecter le principe de neutralité au regard du contenu des messages transmis. Ce principe, pas davantage que les dispositions relatives à la neutralité de l'internet qui sont actuellement examinées au niveau européen (4), si elles devaient être adoptées, ne font pas par eux-mêmes obstacle à la mise en œuvre par les FAI des mesures de blocage pouvant être ordonnées conformément à la loi.

Néanmoins, l'Autorité a souligné dans le cadre du rapport qu'elle a rendu en septembre 2012 au Parlement et au Gouvernement sur la neutralité de l'internet que « le respect des obligations légales, en particulier si elles leur laissent une marge d'initiative sur les méthodes à mettre en œuvre, ne dispense pas les opérateurs de porter une attention particulière aux possibles effets secondaires non souhaités de tout blocage qui ne se limiterait pas strictement à ce qui est requis ».

Ainsi, il convient que les autorités compétentes, et en premier lieu l'ARCEP, puissent s'assurer du caractère efficace et proportionné des mesures mises en œuvre par les FAI pour respecter leurs obligations, afin notamment de contrôler que les techniques utilisées ne conduisent pas à empêcher l'accès à des adresses électroniques dont le blocage n'a pas été ordonné par l'OCLCTIC. L'Autorité souligne à cet égard que l'obligation pour les FAI, prévue par le projet de décret, d'assurer la confidentialité des données qui leur sont confiées dans le cadre de la mise en œuvre du blocage ne saurait faire obstacle aux pouvoirs, conférés à l'ARCEP par la loi, portant sur le recueil auprès des opérateurs des données nécessaires pour lui permettre d'exercer ses missions.

En outre, l'Autorité note que, si le projet de décret prévoit le délai dans lequel les FAI doivent s'assurer du blocage des adresses ajoutées sur la liste tenue par l'OCLCTIC, le texte n'encadre pas le délai dans lequel les FAI doivent rétablir l'accès à une adresse électronique qui aurait été supprimée de cette liste. L'Autorité estime nécessaire que le projet de décret soit complété sur ce point afin de s'assurer que les blocages d'accès soient limités à ce qui est strictement prévu par la loi.

2. Sur les délais de mise en œuvre

L'Autorité relève que le projet de décret prévoit un mécanisme de compensation des surcoûts résultant des obligations mises à la charge des FAI.

La réalisation de développements informatiques ou le déploiement de systèmes d'information pourrait, en pratique, s'avérer nécessaire pour que les FAI soient en mesure de répondre à l'ensemble des demandes dans un délai de vingt-quatre heures. Dans cette mesure, il conviendrait que le décret prévoie des délais raisonnables de mise en œuvre, compatibles avec les nécessités opérationnelles de l'action publique en matière de lutte contre le terrorisme et la pédopornographie.

Le présent avis sera transmis au ministre de l'intérieur et sera publié au Journal officiel de la République française.