Haute Autorité du Net : "le seul vrai blocage utile est le blocage DNS"

Au début du mois, nous dévoilions sur Numerama le projet porté notamment par l'ancien ministre Jacques Godfrain (UMP), de création d'une Haute Autorité du Net qui aurait le pouvoir d'ordonner le blocage des sites et contenus réputés illégaux sans en référer à l'autorité judiciaire. Le projet nous avait évidemment fait bondir puisqu'avec un spectre d'infractions concernées très large, l'absence de contrôle du juge, et la possibilité de faire bloquer des contenus et non pas seulement des sites (ce qui selon nous oblige à un filtrage par DPI), l'HAN nous paraît totalement inacceptable.

Jean-Pierre Bigot, expert judiciaire auprès de la Cour d'appel de Versailles, qui co-signe le document de présentation du projet, est en désaccord avec notre interprétation "alarmiste" de ce que serait l'HAN. Il a accepté de répondre à nos questions pour nous livrer son point de vue :

Numerama : Qui aurait pouvoir de saisir la Haute Autorité du Net ?

Jean-Pierre Bigot : Internet est un espace public ouvert à tous, sans privilège ni restriction. Il est donc logique qu’une Haute Autorité du Net puisse servir et aider tout internaute, sans privilège ni restriction.

Par exemple, l’internaute qui ne parviendrait pas par lui-même à faire cesser des injures ou des images dégradantes sur un blog ; l'autorité devrait pouvoir l’aider en intervenant par une injonction et en veillant à son application, ou en tout dernier recours, si le site est inaccessible, par un blocage.

Nous estimons que l'autorité doit avoir une saisine assez large, notamment pour faire respecter la neutralité du net. Tel opérateur de contenu par exemple qui estimerait que les fournisseurs d’accès ne respecteraient pas la neutralité du net devrait pouvoir saisir l’autorité.

Il y a beaucoup de cas différents qu’il faut examiner au cas par cas. Pour l'instant, nous avons lancé l'idée de principe qu’intervenir sur internet devrait être le monopole d’une Haute Autorité qui présente toutes les garanties de l’indépendance.

Tout autre organisme ou service, de Police ou de Gendarmerie par exemple, devraient donc aussi saisir l’autorité pour toute demande de blocage par exemple.

Une fois ces principes acquis, il faudra réfléchir comment les internautes pourront saisir l’autorité, en tenant compte de ce qui existe déjà. Par exemple, le service de Police (l'OCLCTIC) propose un site de signalement  remarquable où toute victime peut signaler une infraction sur internet, infraction qui peut faire ensuite l’objet d’une enquête.

Pourquoi le blocage des sites internet vous semble-t-il être une bonne méthode de régulation ?

La bonne méthode de régulation est avant tout la pédagogie et la transparence. Mais cette approche ne règle pas tout. Il faut aussi protéger les internautes des escroqueries, violences et autres.. qui restent sourdent à toute injonction.

Vous aurez remarqué que j’utilise "blocage" et non "filtrage". Les mots véhiculent du sens : le blocage induit une action ciblée, alors que le filtrage est plutôt "on lance un filet et on verra ce qu'on ramasse", méthode inacceptable ! Le blocage est le dernier recours. Il doit y avoir d'abord contact, demande d'information, injonction, puis blocage éventuel, sur des situations précises et encadrées.

L’injonction doit respecter le principe de subsidiarité rappelé par l'avis du CNN du 17 juin : s’adresser en premier à l'opérateur de contenu, puis l’hébergeur, et en dernier recours le FAI. Enfin, il doit être proportionné. Le blocage n'est pas une solution universelle. Il présente beaucoup de limites et de risques d'effets de bord.

Je pense que le seul vrai blocage utile est le blocage « DNS », car il est "pédagogique" : il consiste à diriger l’internaute vers le site de l’autorité à la place de celui bloqué, et lui afficher une page lui expliquant pourquoi le site a été bloqué, par exemple, qu’il allait être victime d’un phishing et ce que c’est. Egalement, prenons l'exemple « emblématique » de la pédophilie, le blocage aura le mérite de matérialiser une barrière, au-delà de laquelle la société ne tolère pas. Peu importe si le blocage est contournable, car de toutes les manières l'internaute déterminé y parviendra toujours. L’important est de marquer la limite admise.

Le filtrage IP est plus efficace, mais présente un risque considérable de surblocage, car on ne peut pas déterminer si une IP abrite un seul site ou des centaines (serveurs virtuels). Le corolaire sera en outre que tous les sites volontairement illicites iront se loger sur de tels serveurs impossible à bloquer sans surblocage.

Enfin, les techniques de DPI (Deep Pacquet Inspection) consistent à analyser les contenus des flux circulant sur le Net, et pour lesquelles je suis très réservé. D'abord à cause de son principe de « filtrage systématique », et non de blocage ciblé, ensuite à cause du risque de faux positifs, et enfin parce que la méthode n'est pas suffisamment déterministe pour éviter l’arbitraire. Le DPI est couteux et inefficace sur des flux opaques. Il n'est pas pérenne, car il incitera à la généralisation du cryptage des flux, en particulier ceux illicites, rendant internet définitivement fermé à toute régulation. Il est aussi fragile, car il est facile de le saturer par de vrais faux positifs.

Je pense également qu'il faut se méfier des solutions techniques « miracles » car il y a une autre difficulté, à mon sens bien plus grave qui est que les outils de l'étudiant iranien et de l'opposant syrien, par lesquels ils nous informent de ce qui se passe, sont les mêmes que ceux du cybercriminel qui lance un phishing..

Cela me renforce dans l'idée qu'il faut beaucoup de discernement et confier ces outils à une autorité indépendante et contrôlée, plutôt que la situation actuelle où le pouvoir de bloquer est dispersé.

Dans votre manifeste, vous n'envisagez d'encadrer le blocage par l'autorité judiciaire que pour certaines infractions, la règle étant le blocage par l'autorité administrative. Pourquoi ne pas généraliser le recours au juge ?

Parce que le système judiciaire ne sait pas traiter (sauf les grandes affaires). Le temps judiciaire n'est pas celui d'internet, le coût serait colossal pour le contribuable, et parfois dramatique pour le mis en cause, et le résultat impraticable. Il faut une "quasi juridiction", spécialisée, efficace avec un pouvoir de sanction limité (mais surtout d'intervention), et respectant, c'est la loi, les droits de recours, de défense, et le contradictoire.

Elle ne doit pas regarder que dans une direction, mais aussi faire respecter la neutralité et l'accès à internet.

Enfin, le volet coercitif n'est pas le plus important. Elle doit surtout être pédagogique et transparente, emporter la confiance et l'adhésion.

Sans adhésion, toute régulation est vouée à l'échec et au conflit.

Vous parlez de "blocage des contenus de façon générique, et non limitée à des sites désignés par leur nom de domaine ou leur adresse". Qu'entendez-vous par là ? Quelles seraient les techniques de blocage et qui les mettraient en œuvre ?

On constate tous les jours que certains sites de phishing par exemple réapparaissent avec des noms de domaine différents dans un laps de temps très court.

C'est un exemple, cela dépend des types d'infractions. J’avais traité le cas d’une banque victime d’escrocs qui mettaient en ligne des sites usurpant son image avec des dizaines de noms de domaines très proches et confusants.

Un site, le créateur d'un contenu bloqué ou un abonné qui estime que sa demande d'accès à un contenu est légitime pourrait-il formuler son opposition, et si oui, sous quelle forme et à quel moment de la procédure ?

Oui, et c'est la loi. Une autorité administrative indépendante investie d'un pouvoir de sanction est astreinte au respect des règles fondamentales que vous évoquez. Cela a été rappelé par le conseil constitutionnel dans son avis du 10 juin 2009, et également par le CNN dans son avis du 17 juin. Ces règles sont le respect du droit de défense, du droit de recours, le respect du contradictoire.

Nous n’en sommes pas à écrire des procédures, mais ces principes sont primordiaux.

Quelles garanties pourraient être apportées pour assurer que toutes les ordonnances de blocage sont légitimes et proportionnées ?

Tout d’abord les obligations citées plus haut. Ensuite la transparence de son fonctionnement. Par exemple, Je ne vois pas ce qui s’opposerait à ce que des associations puissent venir consulter la liste des blocages. Ensuite la constitution du collège contrôlant l'autorité. Enfin les organismes de contrôles démocratiques auxquels toute autorité administrative indépendante doit se soumettre.

Finalement, la régulation ne présente-t-elle pas plus de risques pour les libertés que d’avantages pour la protection des internautes ?

Le développement et la professionnalisation des cybermenaces ne nous en laissent pas le choix. Elles prospèrent en profitant de notre passion pour la liberté. La LCEN signifie « loi pour la confiance dans l’économie numérique ». Aujourd’hui, 7 ans plus tard, c’est notre confiance à utiliser internet dans tous les domaines qui est menacée.

Si l’on admet qu’une régulation est devenue nécessaire, elle impose une grande vigilance dès lors qu’elle touche à des libertés fondamentales.

Le recours à une décision judiciaire n’est pas une solution adaptée. Même si elle est intellectuellement séduisante, elle est impraticable. Nous proposons une décision confiée à une autorité spécialisée qui présente les mêmes garanties que celles du juge. Mais surtout, nous savons qu’aucune régulation n’est possible sans adhésion, et donc sans transparence de la part de ceux qui l’auront en charge.