Chroniques de souveraineté numérique IV : Proton se prend les pieds dans le tapis Telegram

L’affaire Telegram est une démonstration de souveraineté numérique : un Etat prend des mesures de répression pénale contre le directeur d’une entreprise qui ignore sciemment et constamment ses injonctions judiciaires. Ce qui serait on ne peut plus normal dans le monde analogique soulève l’indignation d’une frange complotisto-libertarienne des milieux de la technologie : l’entreprise de M. Durov étant basée à Dubaï, elle ne devrait se soumettre qu’au droit de cet Etat, quand bien même elle propose des services à des habitants d’autres Etat ou lorsque ces services servent de véhicules à des délits impactant ces autres Etats. Parmi ces orfraies, on retrouve aussi les tenants d’une liberté d’expression absolue… comme si la liberté d’expression couvrait le fait de refuser d’informer les autorités de poursuite pénale enquêtant sur des crimes ne relevant pas de la liberté d’expression comme la pédocriminalité (bon résumé dans « Le Monde » – paywall), les trafics et activités mafieuses en tout genre. Sans oublier que la liberté d’expression a aussi ses limites, notamment en cas de diffusion de messages haineux ou d’atteinte à l’honneur (une restriction dument prévue par tous les textes protégeant les droits fondamentaux).

Dans ce contexte, le patron de Proton a donné un entretien assez hallucinant au « Temps » (paywall), dans lequel, outre le fait de se ranger du côté des complotisto-libertariens évoqués plus haut, il foule aux pieds l’idée même d’une souveraineté numérique. Ce qui est fort dommage, car ce sont justement les entreprises suisses comme Proton qui pourraient profiter d’une politique volontariste en matière de souveraineté numérique. Cette entreprise fournit notamment des services de messagerie chiffrée (pas comme Telegram soit-dit en passant).

Passons en revue ses arguments (extraits de l’article du Temps) :

«  (…) Telegram est une entreprise qui est gérée à partir de Dubaï, aux Emirats arabes unis. La société n’a pas de bureaux, de serveurs, ou de personnel en France. Ce pays essaie d’appliquer ses lois à une entreprise qui n’est fondamentalement pas sous sa juridiction. Je ne pense pas que la France puisse appliquer ses propres lois partout où elle le souhaite. C’est une question juridique très importante à mon sens. »

Avec ce genre de raisonnement, il n’y aura tout simplement pas de souveraineté numérique. Si une prestation numérique a un impact dans un pays ou sert de véhicule à un délit commis dans ce pays, le pays en question est compétent et son droit s’applique. P. ex. l’arrêt Google Street View ou Yahoo vs Belgique. C’est effectivement une question juridique très importante, mais y répondre par « un Etat n’est compétent que lorsque l’entreprise et ses serveurs s’y trouvent » revient à supprimer toute application du droit des Etats dès qu’il s’agit d’une entreprise étrangère. Autrement dit, cela revient à une application extraterritoriale du droit étranger.

« Dans le cadre du système juridique international, vous devez généralement vous rendre dans le pays où l’entreprise est basée. Il doit donc s’agir d’une procédure légale qui doit passer par Dubaï. Ce n’est pas à la France de mettre ainsi directement en accusation le directeur de Telegram.»

Au contraire, c’est justement dans le pays où le délit est commis respectivement où il déploie ses effets que la Justice doit intervenir. En outre, si les règles de l’UE imposent des obligations de collaboration aux grandes plateformes (j’espère que la Suisse suivra – c’est en tout cas ce que j’avais demandé en 2016), ce sont bien les Etats de l’UE qui doivent les appliquer. Pas Dubaï.

« Cela risque de remettre en question la responsabilité pour les contenus de tiers. Si désormais un opérateur de plateforme était responsable de tout le contenu qui est publié par des tiers, par des utilisateurs, cela créerait aussi un dangereux précédent»

Collaborer avec la Justice pour réprimer certains contenus n’est pas le devoir des tiers, mais le devoir du responsable de la plateforme. Quand on met un téléphone sur écoute, Swisscom, Sunrise & co doivent coopérer, même s’ils n’ont rien à voir avec ce qui se dit via leurs réseaux. Et s’ils refusent de coopérer, ils sont punis. Par ailleurs, fournir des informations ne signifie pas forcément être responsable des contenus (ce qui n’empêche pas de rendre les opérateurs de plateforme responsable des contenus qu’elles diffusent, mais c’est une autre histoire).

« Il peut donc y avoir une impossibilité technique de se conformer à des demandes de la justice. » 

Certes, mais cela ne veut pas dire qu’il n’y a pas obligation de collaborer. Même si au final, c’est pour dire à la Justice : j’ai rien à vous donner, car c’était chiffré de bout en bout. 

« Nous [Proton] nous acquittons toujours de nos obligations, mais uniquement au regard de la loi suisse. La France ne peut donc pas venir directement vers nous parce que nous ne sommes pas une entreprise française. La France doit passer par les autorités suisses, celles-ci doivent consentir à coopérer et à les aider. »

Cela n’est vrai tant qu’il n’y a pas de législation obligeant les plateformes à collaborer directement du moment qu’elles offrent leurs services à un endroit en particulier (même sans y avoir de succursale). Et c’est justement ce que prévoit la législation européenne. 

En outre, si les autorités suisses accordent l’entraide à la France, la France mènera la procédure judiciaire selon son droit (et pas selon le droit suisse). Ce n’est qu’en cas de non-respect du principe de la double incrimination que les autorités suisses refuseront de collaborer. D’ailleurs, les obligations de la Suisse en lien avec sa souveraineté l’obligent à intervenir si son territoire est utilisé pour porter préjudice à un autre état (pour en savoir plus, cf. p. 21ss de mon livre sur la souveraineté numérique).

Enfin, c’est justement parce que l’entraide internationale peut faire défaut en matière de délits « numérique » que l’UE s’est doté de règle impactant les grandes plateformes quel que soit leur pays de siège et le droit auquel elles croient ou veulent être soumises. C’est pour cette raison que j’ai milité pour l’obligation d’avoir une succursale en Suisse qui soit en mesure de coopérer avec notre système judiciaire.

« Peut-être que [Telegram] n’est ainsi simplement pas en mesure de vérifier les contenus qui sont diffusés sur sa plateforme. Il peut donc y avoir une impossibilité technique de se conformer à des demandes de la justice. » 

Ça, c’est vrai. Mais on peut être forcé de collaborer, même si c’est pour dire aux autorités que, chiffrement oblige, on n’a rien à leur transmettre. Et si un état veut obliger les plateformes à être en mesure de collaborer si elles veulent proposer leurs services à sa population, ce sont elles qui devront faire le choix de rester ou pas. Si elles choisissent de rester sans se conformer, elles devront s’attendre à être sanctionnées. Cela dit, pour des raisons de protection de la sphère privée, je ne suis pas favorable à l’interdiction du chiffrement des télécommunications que certains prônent.

L’obligation de collaborer avec la Justice ne contient toutefois pas une obligation de fournir un résultat lorsque c’est impossible. Si des communications sont efficacement chiffrées de bout en bout (ce qui n’est par défaut pas le cas de Telegram), le fournisseur de services de télécommunication n’aura rien à donner aux autorités. Mais cela ne les autorise pas pour autant à refuser de collaborer comme le fait systématiquement Telegram. Et cela ne dispense pas les autorités de mener ces démarches : affirmer sa souveraineté numérique commence par ne pas renoncer à appliquer ses règles au prétexte que les géants de la technologie ne les respectent de toute façon pas.

         *  *  *

Les autres « Chroniques de souveraineté numérique »…

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *