Le Contrôleur européen de la protection des données (CEPD) a tout juste rendu son avis sur une partie des mesures et amendements soutenus dans ce Paquet Télécom, et spécialement au regard du Service Universel (directive 2002/22/EC|directive 2002/22/EC) et de la protection de la vie privée dans le secteur des communications électroniques (directive 2002/58/EC|directive 2002/58/EC).
Son rapport est à la fois un échec, pour les partisans d’un contrôle serré du Web, et une victoire pour la Quadrature du Net, qui retrouve dans ses lignes nombre de ses critiques combattues par certains parlementaires.
En 13 pages (PDF en anglais|PDF en anglais), cette autorité européenne pointe plusieurs amendements «préoccupants».
Celui qui cherche à définir quand une adresse IP est personnelle (amendement 30 du rapport IMCO), laissant entendre que certaines fois, l’IP n’est plus une donnée personnelle et que tout et n’importe quoi peut être fait sur son dos sans contrôle.
Le texte en cours de vote indique par exemple que pour l’application de la directive sur les données personnelles, l’adresse IP est personnelle seulement si elle possède des liens avec un individu seul, ou en conjonction avec d’autres données.
On le voit : il s’agit de définitions très restrictives qui permettent d’abattre du même coup les garanties jusqu’alors placées par les divers textes touchant aux données personnelles.
Pour ce cas, estime le Contrôleur, il n’y a aucune raison justifiant l’abandon de la définition actuelle des données personnelles «interprétées par le Groupe de l’article 29 (NDLR : l’assemblée des CNIL européennes) et la jurisprudence».
Un autre amendement a été taillé en pièce par cette autorité.
C’est l’amendement K2 du député Kamal.
Ce texte permet à n’importe quelle entité «naturelle ou légale» d’implanter des mesures techniques pour assurer la stricte sécurité du service public de communication électronique, voire des réseaux privés.
Les termes sont généreux, mais surtout très flous.
Pour le Contrôleur européen de la protection des données, il ne faut pas s’y méprendre : si ces termes permettent de justifier la mise en place de verrous contre les attaques de masse sur les réseaux, l’usage du mot «sécurité» est un arbuste qui cache une forêt d’insectes et des débordements sont largement à craindre faute d’une définition droite et carrée de cette expression (sécurité technique, sécurité des ayants droit ?) et des personnes en charge de les appliquer (FAI, ayants droit…)
Sur la lutte contre le piratage et la mise en place de la riposte graduée, le CEPD prend note que plusieurs amendements pourraient parfaitement servir de cadre au mécanisme très français de la riposte graduée.
Mme Albanel n’a-t-elle pas dit à Versailles qu’elle se ferait VRP de cette mesure dans le cadre des discussions du Paquet Télécom?
Sur ce thème, le CEPD indique qu’il ne soutient pas un tel cadre juridique «qui permet la surveillance systématique des usages des utilisateurs d’Internet».
Pour l’autorité, «un tel cadre est très envahissant pour la sphère privée de l’individu et met en péril la liberté d’expression».
Ces démarches frappent tous les utilisateurs, elles peuvent conduire à des déconnexions de l’accès Internet, et sont le fait d’une autorité en forte intimité avec les ayants droit ou les FAI.
Si la surveillance de cas très spécialisés est acceptable, ce que dessinent la France et le Paquet Télécom ne l’est sûrement pas.
Les critiques ne s’arrêtent pas là puisque le Contrôleur va encore descendre les différents textes qui obligent un FAI à envoyer des messages d’information à ses abonnés, notamment en liaison avec les propriétaires de contenu.
Là encore, le personnage devine que ces différents textes vont faciliter la mise en place de la riposte graduée tout en empruntant des termes vagues alors qu’on parle de manipulation de données personnelles.
On ne sait pas, par exemple, quelles pourront être exactement ces «informations envoyées» par les FAI et des clarifications s’imposent avant tout vote aveugle.
Un des articles des directives modifiées du Paquet Télécom traite des mesures qui peuvent être adoptées pour s’assurer que les équipements terminaux sont construits d’une manière compatible avec les droits des utilisateurs à protéger et contrôler leurs données personnelles.
Un amendement K1 du député Kamal a complètement renversé la vapeur en autorisant la mise en place de solutions DRM techniques pour la détection, l’interception et la protection des ayants droit dans les matériels de télécommunication (Modem, box, ordinateurs, etc.) sous la seule petite réserve que ces données n’entravent pas la liberté de circulation des marchandises.
Le Contrôleur aux données personnelles tire à vue contre cette proposition totalement éloignée de la philosophie des textes initiaux qui était de définir des standards pour le respect de la vie privée.
Votées, ces mesures «permettraient à un ayant droit de savoir quelles pages un individu a vues, copiées ou transférées» depuis sa machine…
Fanch