«Le projet de loi ne comporte pas en l'état les garanties nécessaires pour assurer un juste équilibre entre le respect de la vie privée et le respect des droits d'auteur» . Cette phrase est la conclusion de l'avis rendu le 29 avril dernier par la Commission nationale de l'informatique et des libertés (Cnil) à propos du projet de loi Création et Internet, et révélée aujourd'hui par la Tribune . Texte voté à grande majorité , et à l'encontre du Parlement Européen , par le Sénat, jeudi dernier.
Pour rappel, fin mai dernier, la Cnil émettait un avis critique sur le projet anti-piratage élaboré par le gouvernement français. On savait qu'il portait avant tout sur le principe de proportionnalité entre le respect du droit de propriété des ayants droit et l'atteinte à la vie privée, mais on en ignorait les détails.
Saisie en mars par le ministère de la Culture, la Commission -- qui doit être «consultée sur tout projet de loi ou de décret relatif à la protection des personnes à l'égard des traitements automatisés» -- rendait ainsi fin avril son avis. Après un rappel des grands lignes du projet, elle rappelle que sa mission n'est pas « d'apprécier la légitimité du dispositif proposé» , mais «d'examiner si, au regard des finalités poursuivies, les traitements de données personnelles envisagés sont proportionnés et si les garanties prévues pour assurer la protection des données personnelles recueillies et traitées sont de nature à préserver l'exercice des libertés constitutionnellement protégées au nombre desquelles figure la liberté individuelle dont le droit au respect de la vie privée constitue une des composantes.»
Et dès ces observations liminaires, elle frappe assez fort en disant observer «que les seuls motifs invoqués par le gouvernement afin de justifier la création du mécanisme confié à l'HADOPI résultent de la constatation d'une baisse du chiffre d'affaire des industries culturelles» et en soulignant le manque flagrant de données étayant ce constat. La Commission dit ainsi «déplorer que le projet de loi ne soit pas accompagné d'une étude qui démontre clairement que les échanges de fichiers via les réseaux « pair à pair » sont le facteur déterminant d'une baisse des ventes dans un secteur qui, par ailleurs, est en pleine mutation du fait notamment, du développement de nouveaux modes de distribution des œuvres de l'esprit au format numérique»
S'en suit une série de remarques sur les moyens et objectifs mis en œuvre par le projet de loi. Ainsi, elle juge «trop restrictive» la liste des exonérations prévues -- «la mise en œuvre par l'internaute de moyens de sécurisation efficaces de son poste, le contournement par un tiers du procédé de sécurisation ou en cas de force majeure» -- car , selon elle, cela «ne permet pas d'appréhender les cas où l'internaute pourrait légitimement mettre à disposition un fichier protégé par les droits d'auteur, par exemple, parce qu'il est lui-même titulaire des droits sur l'œuvre.»
Elle relève également le manque de précision sur les critères et modalités autour de «la possibilité à l'HADOPI de proposer aux internautes une transaction qui, s'ils l'acceptent, permet de réduire la durée pendant laquelle leur abonnement sera suspendu» comme décrite dans l'article L. 336-3.
Sur l'HADOPI elle-même, la Commission dit s'interroger sur ses compétences, et notamment la «nature exacte des traitements de données personnelles susceptibles d'être mis en œuvre» par les agents de la haute autorité. Aussi, elle juge que «le fait de mettre à disposition des agents précités les données de trafic ainsi que les données permettant d'identifier les personnes responsables de la mise en ligne d'un contenu, paraît porter une atteinte excessive à la protection des données à caractère personnel.»
Elle se penche notamment sur l'article qui voulait qu'à Hadopi puisse obliger de filtrage les fournisseurs d'accès, ce qui aujourd'hui ne peut être décidée que par le président du tribunal de grande instance. Selon la Commission, une telle disposition «comporte un risque d'atteinte aux libertés individuelles, au rang desquelles figure la liberté d'expression, dans la mesure où elle donnerait la possibilité à l'HADOPI de demander à un intermédiaire technique de procéder au filtrage de contenus considérés comme portant atteinte aux droits d'auteur.» Elle demande donc de limiter les pouvoirs de la Haute Autorité au simple fait de pouvoir saisir le président du tribunal de grande instance.
Aussi, elle prend note de l'obligation pour les personnes tant physiques que morales de veiller à ce que leur accès Internet «ne fasse pas l'objet d'une utilisation qui méconnaît les droits de propriété littéraire et artistique» tout en soulignant qu'il doit alors «être mis à leur à leur disposition les dispositifs appropriés pour assurer, sans contrainte excessive, la sécurisation de leur poste et de mettre en œuvre les actions d'information et d'accompagnement techniques nécessaires.» Selon elle, il est indispensable que ces outils soient labelisés par l'Hadopi et «fassent l'objet d'une procédure d'évaluation certifiée.» Par ailleurs, à propos des personnes morales, elle fait part de ses craintes «qu'une telle obligation de sécurisation des postes informatiques des employés» aboutisse à une «surveillance individualisé» de l'utilisation d'internet dans les entreprises ou collectivités locales.
Concernant la procédure, la Cnil considère «ne pas être en mesure de s'assurer de la proportionnalité» d'un dispositif qui permet aux SPRD et les organismes de défense professionnelle de saisir au choix l'Hadopi, le juge civil, ou le juge pénal, c'est-à-dire de leur laisser «le choix de la politique répressive à appliquer sur la base d'un fondement juridique dont les contours sont mal définis.» Aussi, elle profite pour rappeler de nouveau que, selon elle, les objectifs et moyens du texte manquent de clarté : «l'exposé des motifs indique que le projet de loi a pour objet la mise en œuvre d'un "mécanisme de prévention et de sanction du piratage", ce qui permet, là encore, de considérer que la frontière entre les notions de "piratage" et de "manquement à l'obligation de surveillance de sa connexion internet" n'est pas clairement établie.»
Sur la gestion d'un fichier national mutualisé d'exclusion, c'est-à-dire l'établissement d'un répertoire national des personnes dont l'accès à internet a été suspendu, la Commission souhaite «obtenir des garanties» concernant les modalités de mise en œuvre des traitements prévus afin, «notamment, que seuls des incidents présentant une gravité certaine et prédéterminée pourront faire l'objet d'une inscription» .
Après l' ARCEP et le Parlement Européen , la Cnil était alors la troisième grande instance à émettre un avis critique sur ce projet. Avant d'être bientôt rejoints par l'ASIC , le conseil d'Etat , l' ISOC ou encore le Contrôleur européen de la protection des données (CEPD) . Maintenant, si cela peut donner quelques nouveaux arguments aux députés qui s'opposeront au projet début 2009, il est difficile de voir en quoi cela pourra arrêter la détermination du gouvernement à faire passer le texte à tout prix. Et malgré tout.