L’exposé suivant se fonde sur les versions initiales du projet de loi française sur la confiance dans l’économie numérique (LEN), qui a déclenché le long de l’année 2003, une vague de protestations en France dans les milieux professionnels de l’Internet et du commerce électronique, et même au-delà des professionnels et de la France. Ce projet de loi a été soumis en 1ère lecture à l’assemblée nationale le 15 janvier 2003. Il a été récemment adopté en 2ème lecture à l’assemblé nationale, après de nombreuses modifications et des amendements. Il est actuellement en cours de discussion en 2ème lecture au sénat. Compte tenu des récentes modifications, il n’est pas exclu que certains des contentieux aient été résolus, mis à part les petites concessions et les ajustements habituels. Mais des modifications de fond me paraissent peu vraisemblables, vu l’habitude de ce gouvernement à faire adopter des lois malgré l’ampleur des contestations, sans doute en partie au non de la restauration de l’autorité de l’état.

A l’origine, cette loi avait pour objectif principal d’aider à « sécuriser » les infrastructures d’informatique et de télécommunications, ainsi que le commerce électronique, en conformité avec des directives de l’union européenne. On peut déjà se poser les deux types questions suivantes  : 1) Au fait, quelle est l’ampleur du problème de sécurité dans le commerce électronique et quelles sont les outils de lutte possible ? 2) Quelle est cette directive européenne et quels sont les choix possibles de la France face à ces directives ? De l’analyse des organisations qui se sont mobilisées contre cette loi, et compte tenu de résultats d’études passées sur les usages de l’Internet, il semble qu’il y a un large consensus sur le fait que cette loi est inutile, et sans doute inapplicable.

Sur le premier type de question, ce n’est certainement pas la bonne façon de faire. Aussi, il n’y a vraiment pas de quoi s’inquiéter car des statistiques récentes ont montré qu’il y a nettement moins de problèmes de sécurité de paiement sur Internet que dans les moyens de payement traditionnels (chèques, guichets automatiques, ...), pour peu que les usagers prennent les dispositions nécessaires : S’assurer de l’authenticité du commerçant, utiliser uniquement des services de payement sécurisé en ligne, ne pas dévoiler de code au local et terminal d’accès, ... Donc ces problèmes de sécurité sont peut-être avant tout liés à des imprudences, des problèmes de psychologie ou des habitudes culturelles. Il y a extrêmement peu de fraudes à la carte bancaire sur Internet, par rapport au nombre de numéros de cartes qui y circulent, même transmis en clair  !

Sur le second type de question, il semble qu’il n’y a aucune directive européenne qui impose une telle loi ! Cela n’a rien de surprenant. De toutes les façons, aucune directive européenne ne s’impose aux états sans leur accord préalable, ni du point de vue des objectifs, ni de la façon de faire. Par exemple, l’union européenne peut imposer à la France de réduire de moitié la fraude électronique d’ici 5 ans (avec l’accord de la France) mais elle ne peut dicter à la France les moyens d’y parvenir. De toutes les façons, il est infiniment plus important de respecter le pacte de stabilité pour la survie de l’Euro. Si on peut se permettre de remettre en cause le pacte de stabilité (parfois à juste titre) on peut aussi discuter de directives relatives à la sécurité dans le commerce électronique. Donc justifier ces lois par le besoin de conformité avec des directives européennes est juste une excuse facile, qui (malheureusement) fait l’affaire des anti-Européens et l’extrême droite en particulier.

Tout porte donc à croire que cette loi est inutile, inapplicable, et surtout (le plus grave) elle remet en cause les libertés individuelles, et fait peser des risques important sur les personnes physiques et morales concernées par le développement de l’Internet et le commerce électronique. Elle peut aussi freiner le développement l’Internet et ses usages en France. En effet, cette loi remet systématiquement en cause le caractère privé des communications de personnes à personnes, ou entre groupes de personnes, chose qui devrait être exceptionnel, utilisé uniquement en cas de problème particulier, identifié avec précision. Aussi, la loi oblige les fournisseurs d’accès Internet et sociétés d’hébergements de contenus à surveiller l’activité des internautes, prendre connaissance des contenus et à prendre des décisions (du type « suppression de contenu » ou « refus d’hébergement  ») dès que le contenu présente un caractère « douteux ». De fait, les fournisseurs d’accès et les entreprises d’hébergement sont transformés en «  policiers » et « juges » via un mécanisme de délégation.

Une fois de plus, des propositions de loi sont faites au mépris de leçons du passé et de ce qui se passe dans le reste du monde (le cas de Napster par exemple, et d’une façon générale les échecs des procès contre les réseaux P2P). Pourtant cette loi est de portée internationale par le domaine concerné, et elle a de fortes ressemblances avec des initiatives similaires dans un passé récent, qui consistent à remettre en cause les droits et libertés élémentaires au non de la lutte contre un danger plutôt pour l’essentiel imaginaire  : on peut penser en particulier aux lois Pasqua qui, censées lutter contre l’immigration incontrôlée et les étrangers fraudeurs, se sont plutôt retournées contre les étrangers déjà bien intégrés, et contre la France. Comme par le passé, la plupart des véritables responsables de ces problèmes, s’il y en a, pourront échapper à ces lois, parce qu’ils auront préparé leurs coups longtemps à l’avance, et ils seront en face de lois et moyens pas assez solides pour eux. Les cyber-criminels ont largement de quoi échapper aux fournisseurs d’accès Internet et de contenus. Par exemple, Ils peuvent (au passage) tout simplement faire accuser de pauvres innocents. Il faudra donc des solutions beaucoup plus imaginatives que la délégation de d’activités de police et de justice aux entreprises opérant dans le domaine. Et puis, il faut être logique sur tous les sujets dans sa façon de faire. Par exemple, il ne faut remettre en cause les acquis sociaux sous prétexte d’alléger les charges des entreprises d’un côté (pour éviter la délocalisation), et de l’autre côté prendre des décisions qui vont alourdir la charge des entreprises dans la lutte contre la cyber-criminalité. Justement, les entreprises de ce domaine sont parmi les plus soumises aux standards internationaux, et les plus faciles à délocaliser. Donc c’est surtout là qu’il faut éviter les charges et la chute du chiffre d’affaire. Sinon, les fournisseurs d’accès et de contenu Internet iront tous s’installer en Angleterre, en Belgique, en Espagne, ..., pour contourner cette loi.

Une pétition est en cours pour exiger le retrait de ce projet de loi. Elle a été signée par CSDPTT . Elle est accessible en ligne : voir la pétition....

Une discussion du texte de loi est prévue pour le 6 avril 2004 en séance publique au sénat.

Drissa Houatra
CSDPTT Ile de France