

Un officier de police dans les bureaux de Pharos, le 19 janvier 2015 à Nanterre - PATRICK KOVARIK/POOL/AFP

On le sait depuis mardi dernier : au sein de la Commission nationale informatique et libertés (Cnil), c’est Alexandre Linden, magistrat de profession, qui a été désigné pour contrôler la liste de sites internet dont l’administration demande le blocage, parce qu’ils font l’apologie du terrorisme ou comportent des images pédopornographiques.

Le « trajet de la décision », rendue possible par la loi Cazeneuve du 13 novembre 2014, est donc le suivant :

l’Office central de lutte contre la criminalité liée aux technologies de l’information et de la communication (OCLCTIC), service de police dirigé par la commissaire Valérie Maldonado, repère un site à caractère terroriste ou pédopornographique, notamment grâce aux signalements reçus par le biais de la plateforme Pharos ;

à caractère terroriste ou pédopornographique, notamment grâce aux signalements reçus par le biais de la plateforme Pharos ; il demande aux éditeurs (par exemple, Rue89) et hébergeurs (par exemple, OVH ou Gandi) du site de retirer les contenus en question ;

(par exemple, Rue89) et (par exemple, OVH ou Gandi) du site de en question ; faute de réaction dans les 24 heures, l’OCLCTIC ajoute le site à sa liste d’adresses « à bloquer » , mise à jour quotidiennement ;

, mise à jour quotidiennement ; la liste de sites sera soumise à la validation de l’Unité de coordination de la lutte antiterroriste (Uclat), « pour ne pas risquer de bloquer des sites sur lesquels il y aurait des investigations » en cours ;

de l’Unité de coordination de la lutte antiterroriste (Uclat), « pour ne pas risquer de bloquer des sites sur lesquels il y aurait des investigations » en cours ; la liste est transmise aux fournisseurs d’accès (par exemple Orange, Bouygues, Free)ainsi qu’à Alexandre Linden, « sans délai ».

« S’assurer du bien fondé des demandes »

Sur son site internet, la Cnil résume la mission d’Alexandre Linden, en tant que « personnalité qualifiée » nommée en son sein : « Eviter une mesure de blocage qui serait disproportionnée ou abusive » et « s’assurer du bien fondé des demandes » de l’OCLCTIC.

« Si la personnalité qualifiée estime que les conditions ne sont pas remplies, elle dispose d’un pouvoir de recommandation auprès de l’OCLCTIC. Dans l’hypothèse où cette recommandation ne serait pas prise en compte, elle pourra saisir le juge administratif, notamment en référé. Enfin, elle devra également rendre public chaque année un rapport d’activité sur les conditions d’exercice et les résultats de son activité. »

L’OCLCTIC réévalue le sort de chaque site internet bloqué « au moins chaque trimestre ». S’il ne présente plus de contenu illégal, il doit être débloqué.

« Une garantie essentielle »

Appelée à se prononcer sur le projet de décret précisant les modalités de ce blocage, finalement publié 5 février, la Cnil a rendu un avis mitigé publié au Journal officiel dimanche et dévoilé par NextInpact dès vendredi soir.

L’une de ses critiques, l’imprécision sur l’identité des policiers de l’OCLCTIC pouvant exiger le retrait des contenus, a été entendue. Dans son décret, le gouvernement prévoit que seuls « les agents individuellement désignés et dûment habilités par le chef de l’office » disposent de ce pouvoir.

La Cnil garde toutefois une certaine insatisfaction sur les « moyens humains, techniques et financiers dont la personnalité qualifiée disposera » pour faire son travail, comme elle le précise d’emblée dans sa délibération :

« A titre liminaire, la commission appelle l’attention du gouvernement sur l’importance de doter la personnalité qualifiée, garante de la proportionnalité du dispositif mis en œuvre, de moyens spécifiques afin de lui permettre de remplir effectivement les missions qui lui sont confiées par la loi. [...] Le contrôle ainsi prévu par la loi constitue en effet une garantie essentielle pour le respect des droits et libertés fondamentaux. »

Il est vrai que le décret reste assez flou à ce sujet, même si la Cnil a obtenu gain de cause sur deux points : elle demandait que la personnalité qualifiée puisse recourir si besoin « à un expert tel qu’un traducteur assermenté » ou « aux services de la Cnil ». Cela a été ajouté.

La liste envoyée par e-mail

L’article 2 du décret prévoit que les demandes de blocage soient adressées aux fournisseurs d’accès « selon un mode de transmission sécurisé, qui en garantit la confidentialité et l’intégrité ». « Une formulation générale » visant à assurer la sécurité des échanges, remarque la Cnil, mais insuffisante.

Il s’agirait en fait d’un envoi « par courriel » entouré de précautions particulières (du chiffrement, peut-être ?), que la Cnil demande à connaître et évaluer. Elle fait la même demande pour la procédure qui entoure les demandes préalables de retrait de contenus.

En prévision d’un décret à venir, portant cette fois-ci sur le déréférencement des sites, la Cnil prend les devants :