David Geens
‘Vous avez une autre conception de la politique? Méfiez-vous dans ce cas des autorités!’
Le ministère américain de la Justice a cette semaine demandé à un hébergeur web qui visitait un site web politiquement engagé. Cela serait-il aussi possible en Belgique? L’expert en hébergement David Geens et le juriste ICT Matthias Dobbelaere-Welvaert vous expliquent ici pourquoi il y a de quoi se faire du souci.
Plus tôt cette semaine, une info en provenance des Etats-Unis indiquait que le ministère de la Justice avait introduit une demande de renseignements auprès d’un hébergeur américain, DreamHost. Rien d’anormal en soi, cela se pratique chaque jour. Ce qui était préoccupant par contre, c’est qu’il ne s’agissait pas ici d’un site web proposant à Monsieur Tout-le-Monde des armes illégales, des drogues ou d’autres choses du genre, mais bien d’un site web politiquement engagé, en l’occurrence disruptj20.org.
1984
L’info n’a cependant pas retenu toute l’attention qu’elle méritait. Était-ce dû à la léthargie des vacances ou à son contenu ‘passe-partout’? Peu importe, alors que pourtant, l’idée a de quoi inquiéter. Une autorité qui demande via les canaux juridiques ad hoc qui est le propriétaire d’un domaine (et son hébergeur), c’est certes encore une opération pouvant être qualifiée de légitime. Mais que cette même autorité veuille aussi savoir qui a visité un site web, cela est plus que disproportionné et s’apparente à la fiction décrite par Orwell dans 1984.
Vous avez une autre conception de la politique? Méfiez-vous dans ce cas des autorités!
Un hébergeur dispose d’énormément d’informations qui peuvent être très précieuses pour d’aucuns. Le gestionnaire d’un serveur web a en effet accès à tous les journaux de ce serveur, où sont conservées les adresses IP de tous les visiteurs, mais également et dans les moindres détails ce que ces derniers ont regardé et éventuellement aussi les réactions qu’ils ont laissées.
Pourquoi des garanties de confidentialité ne sont pas un luxe superflu
La rétention de données n’est pas une nouvelle notion. La législation européenne date déjà de quelques années maintenant et a été durement contestée devant plusieurs tribunaux nationaux en raison de la disparité entre la nécessité juridique et la collecte générale de données des citoyens. En résumé, la loi sur la rétention de données contraint les hébergeurs à tenir à jour les communications sans stocker eux-mêmes le contenu de celles-ci. Cela signifie que l’hébergeur sait parfaitement qui communique avec qui, mais pas de quoi (le contenu). Un examen scientifique a cependant démontré que le réseau des acteurs qui communiquent entre eux (qui connaît qui dans quel milieu et dans quel contexte) divulgue des tas d’informations et que le message à propos du contenu exact s’avère très régulièrement non-pertinent.
Il s’agit évidemment là d’un scénario juridique. En réalité, les hébergeurs et ISP disposent parfois de beaucoup plus d’informations et ce, souvent pour des raisons techniques. Ces informations ne tombent alors pas sous le coup de la loi sur la rétention de données, mais bien sous celui de la loi sur le respect de la vie privée, parce qu’elles contiennent quasiment toujours des données personnelles. Cette loi sur le respect de la vie privée – déjà très stricte en Belgique – sera pourtant encore affinée en mai 2018 (en raison du fameux règlement européen GDPR), afin d’intégrer des garanties supplémentaires pour les citoyens et les consommateurs. Le fait que ces garanties ne soient pas un luxe superflu, s’avère on ne peut plus évident, lorsque la faim de données et d’informations d’une autorité est insatiable.
Les hébergeurs placés entre deux feux
Les hébergeurs exigent eux aussi la clarté, la transparence et le respect des différentes lois. Souvent, ils se retrouvent en effet entre le marteau et l’enclume, lorsqu’il y a des procès devant les tribunaux. Les gestionnaires techniques peuvent en effet se permettre beaucoup de choses, mais ce n’est pas parce que c’est possible que c’est autorisé.
L’épée de Damoclès est toujours suspendue au-dessus de la tête de l’hébergeur. Que se passe-t-il si la partie adverse lésée dépose une plainte à l’encontre de l’hébergeur pour atteinte à sa vie privée ou pour mise à disposition illégitime d’informations (d’entreprise)?
Pour des raisons économiques et politiques aussi, ce terrain de jeu devrait être mieux délimité. Rien n’empêche à présent un concurrent ou quelqu’un qui n’est tout simplement pas d’accord avec des éléments publiés de faire envoyer une ordonnance de cessation et d’abstention (cease & desist) à l’hébergeur (par exemple sous prétexte du droit d’auteur). Si l’hébergeur ne met alors pas directement le site web visé hors ligne, il encourt une demande en dommages et intérêts de la part du plaignant. Mais s’il obtempère, il se rend alors coupable d’une rupture de contrat vis-à-vis de son client et s’expose également à une demande en dommages et intérêts de la part de ce dernier.
Toujours plus d’hébergeurs s’en protègent souvent par des contrats spécifiques qui ne sont évidemment qu’un engagement avec leur client (et dans cet exemple donc le défendeur). Dans la plupart des contrats d’hébergement, il est mentionné qu’un hébergeur a, comme bon lui semble, le droit de suspendre l’hébergement en cas de litiges juridiques. Bref, le plaignant obtient généralement gain de cause, surtout s’il peut s’entourer d’un cabinet d’avocats au nom ronflant.
Rester attentifs
La police fédérale dispose à présent de spécialistes suffisamment aguerris, mais la Justice, elle, est encore loin du compte. Que penseriez-vous d’une affaire où un hébergeur serait sommé (sous la menace de versement d’une astreinte) de pirater des serveurs par le simple fait qu’un suspect aurait acquis quelques services chez lui? Ou encore de l’idée lumineuse qu’a eue un juge d’instruction de couper l’alimentation de toute une armoire de serveurs, de sorte que non seulement un serveur spécifique intégrant des films illégaux soit mis hors service, mais que cette action touche aussi des dizaines de clients innocents?
On ne peut qu’espérer que les garanties juridiques, éthiques et pratiques nécessaires soient fin prêtes au moment où les autorités belges deviendront elles aussi avides d’informations.
L’internet doit demeurer un port franc, où la liberté d’expression reste l’un des principales priorités. Nous devons tous continuer de rester attentifs vis-à-vis d’autorités indiscrètes, qui veulent mettre leur nez partout, mais aussi vis-à-vis de la jurisprudence dans ce domaine, où seules les grandes firmes et les plus fortunés tirent leur épingle du jeu. Les hébergeurs jouent un rôle essentiel en permettant l’accès à l’information libre et à la connaissance. On ne peut qu’espérer que les garanties juridiques, éthiques et pratiques nécessaires soient fin prêtes au moment où les autorités belges deviendront elles aussi avides d’informations.
Cette opinion a été rédigée par David Geens, managing partner chez Nucleus, et par Matthias Dobbelaere-Welvaert, managing partner chez theJurists Europe
Vous avez repéré une erreur ou disposez de plus d’infos? Signalez-le ici