Dans une déclaration commune avec Theresa May, Emmanuel Macron a annoncé un « plan d'action très concret » contre les contenus haineux, notamment ceux promouvant le terrorisme. Ce plan comporte trois volets : le chiffrement, l'accès aux données et la suppression de contenus illicites.

Peut-on accéder à des contenus chiffrés sans remettre en cause la confidentialité des correspondances ? À cette question pour le moins paradoxale (le rôle du chiffrement des communications est justement de garantir le plus fortement possible le secret de la correspondance), Emmanuel Macron et Theresa May entendent bien apporter une réponse positive.

C’est en tout cas ce qui ressort de la déclaration prononcée par le chef de l’État lors du point presse qu’il a tenu avec son homologue britannique. Le président a ainsi parlé d’un « plan d’action très concret », préparé conjointement entre les services français et britanniques, qui consiste à agir à trois niveaux : le chiffrement, la suppression des contenus illicites et l’accès aux données.

Concernant le chiffrement, les deux responsables politiques entendent « améliorer les moyens d’accès aux contenus cryptés (sic), dans des conditions qui préservent la confidentialité des correspondances, afin que ces messageries ne puissent pas être l’outil des terroristes ou des criminels ». Comment ? Le discours est hélas muet sur ce point.

Emmanuel Macron s’était déjà exprimé sur le chiffrement des communications, mais d’une façon fort maladroite, pendant la campagne présidentielle. La méconnaissance apparente du chef de l’État sur ce sujet avait contraint son équipe à faire du service après vente afin de corriger le tir sur ses déclarations, en expliquant qu’il n’est pas question de remettre en cause certains principes cryptographiques.

La législation française contient déjà des dispositions pour les cas où la justice est confrontée à des contenus chiffrés. Le code pénal a une mesure qui sanctionne le refus de coopérer pour obtenir le déchiffrement des messages. Elle vise aussi bien le particulier que l’éditeur d’une solution de communication chiffrée. En cas de délit, le chiffrement peut aussi être retenu comme une circonstance aggravante.

Accès aux preuves numériques

La déclaration commune appelle aussi à « accentuer la coopération internationale, avec les États-Unis notamment, pour améliorer l’accès aux preuves numériques dans les enquêtes qui sont menées par nos services de police et de justice, où que soient localisées ces données ». Les USA sont cités explicitement, car c’est dans ce pays que se trouve le siège de nombreux géants du net.

Il faut rappeler que les entreprises technologiques, surtout américaines, coopèrent déjà avec les autorités françaises. Les groupes de la Silicon Valley comme Facebook, Google et Twitter publient d’ailleurs régulièrement des rapports de transparence pour montrer le niveau des requêtes venant de chaque pays. Dans le cas de la France, ces demandes sont en hausse semestre après semestre.

Cependant, une demande formulée n’est pas forcément honorée. Chaque entreprise vérifie le formalisme des requêtes, leur validité et leur portée. Il peut arriver que des sollicitations ne soient pas suivies d’effet, parce que l’autorité administrative ou judiciaire n’a pas respecté, du point de vue de la société sollicitée, l’esprit et la lettre de la loi. En clair, ce n’est pas open bar.

Obligations sur les services en ligne

Par ailleurs, et comme on pouvait s’y attendre vu le communiqué de Londres avant le départ de Theresa May pour la France, la déclaration demande aussi le « renforcement des engagements et des obligations des opérateurs en ligne, afin de supprimer les contenus qui promeuvent, dans tout type de media, la haine et le terrorisme. Il y a aujourd’hui des engagements qui ont été pris, ils ne sont pas suffisants ».

Selon Macron et May, « ce sont durant les deux premières heures que près de 50 % des potentiels terroristes, en tout cas des esprits qui peuvent être manipulés, sont touchés par cette propagande, quand aujourd’hui les engagements pris sont mis en œuvre seulement dans les 48 heures », en référence au code de bonne conduite signé entre la Commission européenne et Twitter, Facebook, Microsoft et YouTube.

Ce code doit renforcer la lutte contre les contenus haineux sur le net au niveau européen. En décembre, il était apparu que « les sociétés prennent plus de temps et n’atteignent pas toujours leurs objectifs. Elles ne passent en revue que 40 % des cas qui leur sont signalés en moins de 24h ». Et après 48h, il reste toujours 20 % des cas qui ne sont pas traités. Un point d’étape effectué en juin a noté une amélioration de la situation.

Responsabilité nouvelle

En France, la loi de 2004 pour la confiance dans l’économie numérique contient déjà des mécanismes de sanction contre les hébergeurs qui ne parviennent pas à retirer assez vite un contenu signalé. Mais afin de ne pas inciter les intermédiaires à sur-modérer, le texte contient un dispositif qui les protège temporairement, en n’engageant leur responsabilité que s’ils n’ont pas eu vent du souci ou qu’ils n’ont pas agi promptement.

C’est ce mécanisme qui pourrait être amené à évoluer, en poussant les services à ne pas agir uniquement a posteriori aussi vite que possible, mais aussi à intervenir a priori, afin de bloquer un contenu illégal dès qu’il est détecté pendant la phase de la mise en ligne, sur le modèle du robocopyright. C’est en tout cas dans cette direction que semble pencher la France et le Royaume-Uni.

Le renforcement des engagements et des obligations des opérateurs pourrait se faire avec de nouvelles contraintes législatives. C’est une idée qui circule au niveau européen, avec une harmonisation des textes en la matière, avec à la clé, des amendes pour les services qui ne parviennent pas à prendre les mesures qui s’imposent pour supprimer les contenus litigieux. L’Allemagne a déjà voté un texte et le Royaume-Uni y songe.