TwitLonger — When you talk too much for Twitter

CNNUM · @CNNum

24th May 2011 from Twitlonger

En attendant notre site, on continue avec les twitlongers : voici le 1er avis du CNN (transposition du paquet telco)

Conseil National du Numérique

Paris, le 23 mai 2011

Monsieur le Ministre,

Conformément aux dispositions de l’article 1er du décret n° 2011-476 du 29 avril 2011 portant création du Conseil National du Numérique, vous nous avez transmis pour avis le 5 mai dernier le projet d’ordonnance relatif aux communications électroniques pris en application de l’article 17 de la loi n° 2011-302 du 22 mars 2011 portant diverses dispositions d’adaptation de la législation au droit de l’Union Européenne en matière de santé, de travail et de communications électroniques.
Le Conseil National du Numérique a bien noté d’une part que l’article 17 de la loi du 22 mars 2011 autorise, à titre principal, le Gouvernement à prendre, par voie d’ordonnance, les dispositions nécessaires à la transposition des directives 2009/136/CE et 2009/140/CE du Parlement européen et du Conseil adoptées le 25 novembre 2009, dites « paquet télécom » et d’autre part que dans la mesure où le délai accordé aux États membres pour transposer ces directives arrivera à son terme le 25 mai 2011, vous nous avez demandé de bien vouloir vous faire part de l’avis du Conseil sur ce projet d’ordonnance avant le 26 mai 2011.

Dans le bref délai imparti, le Conseil National du Numérique a souhaité faire porter son avis sur différents points du projet d’ordonnance ayant trait à des questions cruciales pour le développement de l’économie numérique en France.

- Sur le nouveau cadre juridique applicable aux « cookies » (article 37)

L’article 2 5) de la Directive n° 2009/136/CE prévoit que “«3. Les États membres garantissent que le stockage d’informations, ou l’obtention de l’accès à des informations déjà stockées, dans l’équipement terminal d’un abonné ou d’un utilisateur n’est permis qu’à condition que l’abonné ou l’utilisateur ait donné son accord, après avoir reçu, dans le respect de la directive 95/46/CE, une information claire et complète, entre autres sur les finalités du traitement. Cette disposition ne fait pas obstacle à un stockage ou à un accès techniques visant exclusivement à effectuer la transmission d’une communication par la voie d’un réseau de communications électroniques, ou strictement nécessaires au fournisseur pour la fourniture d’un service de la société de l’information expressément demandé par l’abonné ou l’utilisateur”

Cet article réforme ainsi le cadre juridique applicable aux « cookies » ou témoins de connexion. Dans le domaine du numérique, les cookies demeurent une technologie utilisée pour diverses finalités : mesure d’audience (comptabilisation du nombre de visites sur un site par exemple), processus d’achat, reconnaissance de l’utilisateur, personnalisation des pages de navigation, publicité comportementale, etc.

Lors du débat au niveau européen, de nombreux échanges ont eu lieu entre deux principes réduits classiquement aux termes de « opt-in » et de « opt-out ». En synthèse, la question qui demeurait pour les cookies était la suivante : doit-on imposer le recueil du consentement de l’internaute avant ou lors l’installation d’un « cookie » sur sa machine ?

Le projet d’ordonnance n’apporte pas de commentaires particuliers dès lors qu’il procède à une transposition quasi-litéralle du texte de la Directive. Néanmoins, plusieurs observations peuvent être formulées pour souligner l’intérêt, dans l’univers du numérique, de telles dispositions.

Tout d’abord, le texte pose un premier principe fort : une information claire et complète de l’internaute sur l’installation des cookies mais également sur leur finalité et sur lesmoyens de les refuser.

Souvent perçus comme intrusifs, les cookies peuvent avoir des fonctionnalités très diverses et il convient effectivement que l’usage de cette technologie fasse l’objet d’une meilleure transparence auprès de l’internaute final. A une époque où la gestion de la vie privée dans la sphère numérique devient un enjeu pour chacun des acteurs, tant publics que privés, il est important que l’internaute soit informé de l’installation de cookie(s), de l’usage qui en est fait et des outils dont il dispose lui permettant de s’opposer la présence de(s) cookie(s) sur sa machine.

Par ailleurs, il convient également d’encourager, en matière de publicité comportementale, l’initiative européenne youronlinechoices.com permettant à l’internaute d’exercer un choix quant au ciblage publicitaire.

Ensuite le texte prévoit, outre des exceptions notamment pour les cookies dits de « navigation » et pour les cookies strictement nécessaires à la fourniture d’un service, un second principe : celui de donner à l’internaute la possibilité d’exprimer son choix d’accepter ou non des cookies. Le projet d’ordonnance dispose que cet accord peut résulter des paramètres du navigateur de l’internaute ou de tout autre dispositif placé sous son contrôle. Ce principe nous paraît être un bon équilibre pour responsabiliser l’ensemble des acteurs de la chaîne : l l’internaute ayant reçu l’information adéquate, le navigateur lui fournira des outils de gestion de ses cookies et l’internaute aura, sur la base de ces deux éléments, les clés lui permettant d’assurer la gestion de ses propres données, son accord sur les cookies pouvant résulter de son choix de ne pas utiliser ces outils.

Enfin, il convient de rappeler que si les cookies contiennent des données personnelles, les acteurs en faisant usage demeurent soumis à l’ensemble de la législation éminemment protectrice des données personnelles après avoir reçu l’information susvisée. En particulier, les acteurs demeurent tenus au respect des principes d’intégrité et de sécurité des données, de proportionnalité et de finalité de la collecte.

- Sur la protection des données à caractère personnel (article 38)

Le dispositif prévu dans le projet d’ordonnance semble beaucoup plus contraignant que celui prévu dans la directive.

En effet, la directive prévoit qu’en cas de violation de la sécurité entraînant accidentellement ou de manière illicite la destruction, la perte, l'altération, la divulgation ou l'accès non autorisé à des données à caractère personnel, le fournisseur de communications électroniques doit prouver à la CNIL qu’il a pris les mesures technologiques appropriées en cas de violation. Or le projet d’ordonnance soumis à consultation va au-delà du texte la directive en imposant une validation par la CNIL des mesures mises en œuvre.

De même, la directive prévoit une information de l’intéressé dans l’unique cas où la violation de sécurité aurait entraîné un préjudice pour celui-ci. Le projet d’ordonnance fait abstraction de cette notion, pourtant essentielle, de préjudice. Dans ce cas, la directive précise d’ailleurs que le fournisseur doit avertir « sans délai indu » l’intéressé, mention qui n’est pas fidèlement transposée dans le projet d’ordonnance, la mention « sans délai », beaucoup plus contraignante, y étant substituée.

Il serait donc souhaitable de transposer plus fidèlement les dispositions de la directive en matière de protection des données à caractère personnel.

- Sur les articles visant à assurer la « Net Neutralité »

Le sujet de la neutralité des réseaux demeure sensible. Sans rentrer dans les nombreux débats relatifs aux pratiques de gestion de trafic ou à la problématique du filtrage de l’accès à certains sites internet, la Directive 2009/136/CE a posé deux principes : une transparence vis à vis des consommateurs et la possibilité pour les autorités de régulation nationales de définir les exigences minimales en matière de qualité de service.

Parallèlement la loi du 22 mars 2011 a fixé parmi les missions du Ministre de l’Industrie et de l’ARCEP de veiller à “l'absence de discrimination, dans des circonstances analogues, dans les relations entre opérateurs et fournisseurs de services de communications au public en ligne pour l'acheminement du trafic et l'accès à ces services” (article L.32-1 4bis) .

. Ce principe de non-discrimination apparaît renforcé par le projet d’ordonnance qui fixe parmi les missions du Ministre et de l’ARCEP le soin de veiller à “favoriser l’accès des utilisateurs finals à l’information et à préserver leur capacité à diffuser ainsi qu’à utiliser les applications et les services de leur choix” (article 3 insérant un 15° au L.32-1).
Si ces dispositions sont appréciées par le Conseil, il est suggéré de préciser que le Ministre et l’ARCEP veillent à « favoriser la capacité des utilisateurs finaux à accéder à l’information [laquelle n’est pas délivrée par les opérateurs] et à en diffuser (…) »

De même, il est suggéré de lever toute ambiguïté quant à la capacité respective d’un opérateur et d’un fournisseur de services de communication au public en ligne de saisir l’ARCEP en application de l’article L.36-8 II 5°du CPCE. Pour ce faire, il est proposé de retenir une rédaction cohérente avec les dispositions de l’article L.32-1 4° rappelées ci-dessus et de modifier comme suit l’article L.36-8 II 5° du CPCE :

« 5° Les conditions techniques et tarifaires d’acheminement du trafic et d’accès aux services entre un opérateur et un fournisseur de services de communications au public en ligne ; »

En outre, l’article 33 du projet d’ordonnance propose d’ajouter un g) au sein de l’article L. 121-83 du Code de la consommation imposant aux Fournisseurs de services de communications électroniques une obligation d’information des consommateurs sur “les procédures mises en place par le fournisseur pour mesurer et orienter le trafic de manière à éviter de saturer ou sursaturer une ligne du réseau et sur les conséquences en matière de qualité de services”. Il est complété par un i) prévoyant une obligation d’information sur les “restrictions à l’accès à des services et à leur utilisation, ainsi qu’à celle des équipements terminaux fournis”.

Ainsi, le projet d’ordonnance prévoit un cadre juridique adéquat permettant une information complète et transparente du consommateur. Cette information porte à la fois sur les restrictions à l’accès mais également sur les politiques de gestion de trafic mises en oeuvre par les opérateurs.

En donnant ainsi au consommateur une information transparente et, en parallèle, en confiant au Ministre et à l’ARCEP les missions de veiller à l’absence de discrimination ainsi qu’à la capacité des utilisateurs finals à accéder à l’information, le projet d’ordonnance permet d’établir des règles claires afin d’éviter tout risque d’atteinte au principe de neutralité des réseaux.

En ce qui concerne la définition d’exigences minimales en matière de qualité de service, l’article 18 du projet d’ordonnance prévoir qu’insérer un article L.36-15 prévoyant qu’”Afin de prévenir la dégradation du service et l’obstruction ou le ralentissement du trafic sur les réseaux, l’ARCEP peut fixer (...) des exigences minimales en matière de qualité de service”.

L’ordonnance reprend donc les éléments posés par la Directive afin de donner un cadre juridique minimale à la protection de la neutralité des réseaux.

- Sur la prospection commerciale par voie de courrier électronique

L’article 8 du projet d’ordonnance modifie l’article L.34-5 du Code des postes et communications électroniques qui fixe le cadre juridique applicable à la prospection commerciale notamment par voie de courrier électronique.

Cet article opère les modifications suivantes :
- le principe de l’opt-in en matière de prospection commerciale est maintenu ;
- l’exception dite “de biens et services analogues” (permettant à un cybermarchand d’expédier des courriers électroniques publicitaires à ses clients sans avoir besoin de recueillir un accord explicite) est maintenue mais fait l’objet de plusieurs modifications. La principale concerne l’obligation pour le site internet de donner un moyen de désabonnement à son client et ceci “au moment” de la collecte de l’adresse email de l’utilisateur. Il s’agit d’une transposition littérale de l’article 2 7°) de la Directive.

Ainsi, le site internet devra prévoir, lors de l’achat ou de la souscription à un service, un moyen pour l’internaute de s’opposer à l’utilisation de son adresse de courrier électronique pour lui adresser des prospections commerciales.

L’article 32 du projet d’ordonnance modifie quant à lui l’article L.121-15-1 du Code de la consommation concernant les publicités envoyées par voie de courrier électronique. La modification envisagée transpose l’article 2, 7°) de la Directive n° 2009/136/CE qui prévoit que : “Dans tous les cas, il est interdit d’émettre des messages électroniques à des fins de prospection directe en camouflant ou en dissimulant l’identité de l’émetteur au nom duquel la communication est faite, en violation de l’article 6 de la directive 2000/31/CE, sans indiquer d’adresse valable à laquelle le destinataire peut transmettre une demande visant à obtenir que ces communications cessent, ou en encourageant les destinataires à visiter des sites internet enfreignant ledit article“

L’article 32 appelle les commentaires suivants. Si l’objectif affiché est clair (celui de donner au destinataire de toute publicité reçue par courrier électronique un moyen de se désabonner), il convient de rappeler que l’article L34-5 du Code des postes et communications électroniques prévoit d’ores et déjà la disposition suivante : “Dans tous les cas, il est interdit d'émettre, à des fins de prospection directe, des messages au moyen d'automates d'appel, télécopieurs et courriers électroniques, sans indiquer de coordonnées valables auxquelles le destinataire puisse utilement transmettre une demande tendant à obtenir que ces communications cessent sans frais autres que ceux liés à la transmission de celle-ci”

Avec l’article 32, le Gouvernement souhaite intégrer une nouvelle disposition qui apparait redondante avec celle de l’article L.34-5(le droit français est déjà conforme à la Directive qu’il s’agit de transposer),, et qui serait formulée en des termes différents ce qui est toujours une source de difficultés.
Il conviendrait donc que l’article 32 reprenne exactement la formulation retenue à l’article L. 34-5 du Code des postes et communications électroniques afin d’assurer une cohérence et rendre plus intelligible pour les acteurs du numérique ces nouvelles dispositions.

En tout état de cause, l’article 32 est susceptible d’être source de confusion :
- la première partie de l’article L. 121-15-1 du Code de la consommation évoque 1) des publicités transmises 2) par courrier électronique
- la seconde partie, intégrée par l’article 32, évoque quant à elle 1) des messages et 2) des publicités.

Il conviendrait d’unifier la rédaction et ainsi, en cas de maintien de l’article 32 de mentionner que :
“Ces courriers électroniques doivent indiquer une adresse ou un moyen électronique valable permettant au destinataire de transmettre une demande visant à obtenir que la transmission de ces publicités cessent”.

- Sur les obligations d’information pesant sur les Fournisseurs de services de communications électroniques

L’article 34 transpose une partie de l’article 1er, 14), dela Directive 2009/136/CE qui prévoit que : “Les États membres peuvent également exiger que le contrat comporte toutes les informations pouvant être fournies par les autorités publiques compétentes à cette fin sur l’utilisation des réseaux et des services de communications électroniques pour se livrer à des activités illicites ou diffuser des contenus préjudiciables, ainsi que sur les moyens de protection contre les risques d’atteinte à la sécurité individuelle, à la vie privée et aux données à caractère personnel, qui sont visées à l’article 21, paragraphe 4, et concernent le service fourni”.

Cet article permet donc, mais n’impose pas, aux Etats membres d’imposer aux fournisseurs de services de communications électroniques certaines obligations d’information.

Toutefois le projet de transposition s’éloigne du texte de la Directive. Le texte communautaire prévoyait en effet une obligation pour le Fournisseurs de services de communications électroniques de communiquer au consommateur “les informations fournies par les autorités publiques compétentes”.

La transposition proposée impose une communication mais dont le contenu est à la libre disposition des Fournisseurs de services de communications électroniques.

Au delà de ces éléments, l’article de transposition peut donner lieu à plusieurs critiques :
- l’article parle de “conséquences juridiques” sans différencier s’il s’agit des conséquences contractuelles (résiliation du contrat d’accès à l’internet) ou des conséquences de natures civiles et pénales (condamnation pénale, condamnation à des dommages à internet) ;
- l’article demande d’informer les consommateurs sur les conséquences de la diffusion de “contenus préjudiciables”. Or, , une telle catégorie de contenu « préjudiciable » n’est pas défini par la loi.. Certains contenus « préjudiciables » pourraient pourtant être licites. Un contenu est préjudiciable dès lors qu’il cause un préjudice (par exemple un contenu de nature pornographique est licite, mais est préjudiciable au jeune public et peut devenir illicite dès lors qu’il est susceptible d’être perçu par un mineur). Il peut donc paraître excessif d’informer les consommateurs sur les dangers de diffuser des contenus préjudiciables, c’est à dire sur les dangers de diffuser le cas échéant des contenus licites.
- l’article impose aux Fournisseurs de services de communications électroniques d’informer les consommateurs sur les conséquences de porter atteinte aux droits d’auteur et aux droits voisins des droits d’auteur.

Concernant cette information spécifique, il convient de rappeler que
- l’article 7 de la loi du 21 juin 2004 pour la confiance dans l’économie numérique (LCEN) impose déjà aux Fournisseurs de services de communications électroniques une obligation d’information spécifique.
- l’article L.331-27 du CPI prévoit que : “Les personnes dont l'activité est d'offrir un accès à des services de communication au public en ligne font figurer, dans les contrats conclus avec leurs abonnés, la mention claire et lisible des dispositions de l'article L. 336-3 et des mesures qui peuvent être prises par la commission de protection des droits [Dispositions déclarées non conformes à la Constitution par la décision du Conseil constitutionnel n° 2009-580 DC du 10 juin 2009]. Elles font également figurer, dans les contrats conclus avec leurs abonnés, les sanctions pénales et civiles encourues en cas de violation des droits d'auteur et des droits voisins et en application de l'article L. 335-7-1.
En outre, les personnes visées au premier alinéa du présent article informent leurs nouveaux abonnés et les personnes reconduisant leur contrat d'abonnement sur l'offre légale de contenus culturels en ligne, sur l'existence de moyens de sécurisation permettant de prévenir les manquements à l'obligation définie à l'article L. 336-3 ainsi que sur les dangers pour le renouvellement de la création artistique et pour l'économie du secteur culturel des pratiques ne respectant pas le droit d'auteur et les droits voisins”.

En conséquence, il semble que cette obligation d’information n’est pas pertinente et bien au contraire peut laisser une image négative de l’usage d’internet. Il convient également de ne pas procéder à une surenchère en matière de propriété intellectuelle dès lors que des obligations similaires existent déjà.

En outre, l’article 34 prévoit une obligation d’information sur les “risques d’atteinte à la sécurité individuelle, à la vie privée et aux données à caractère personnel lors de l’utilisation des services de communications électroniques”. Cette obligation semble particulièrement anxyogène pour le consommateur et n’est pas en faveur d’une promotion du développement du numérique.

Alors qu’il revient plutôt aux acteurs, publics et privés, de sensibiliser les internautes à l’usage de leurs propres données, il ne semble pas pertinent d’avoir un discours négatif listant l’ensemble des risques existants.

Dès lors que cette mention est facultative, il convient sans nul doute de la supprimer.

Il revient plutôt aux acteurs du numérique de prendre des mesures d’information génériques sur les risques mais aussi les méthodes et les outils destinés à protéger la vie privée et les données personnelles des internautes.
Sur la mise en oeuvre d’une médiation par les Fournisseurs de services de communications électroniques

L’article 1er 24) de la Directive insère plusieurs modifications relatives à la création de modes extrajudiciaires de règlement des différends entre consommateurs et Fournisseurs de services de communications électroniques. Dans le texte de transposition (article 36), le Gouvernement imposerait une obligation d’offrir le recours à un médiateur qualifié “d’indépendant”.

Cette exigence d’indépendance n’est pas précisée par la Directive qui énonce que “ces procédures permettent un règlement équitable et rapide des litiges”. En fixant un critère d’indépendance, sans réellement le définir, le Gouvernement crée une difficulté.

La question de l’indépendance d’un service de médiation a fait en effet l’objet de nombreux débats. Cette indépendance tient-elle au mode de nomination du médiateur ? A la structuration juridique du service ? Au mode de financement ?

Sans doute serait-il plus pertinent que le projet d’ordonnance reprenne les critères fixés par la Directive pour l’efficience des procédures.

- Sur les dispositions relatives au recueil et au traitement des réclamations des usagers en cas de brouillage

Le Conseil National du Numérique se félicite du projet d’article L 33-3-1 du CPCE, qui vise à interdire le développement anarchique des appareils de brouillages particulièrement préjudiciables pour la sécurité de la vie – plusieurs centaines de milliers d’appels d’urgence sont ainsi perdus annuellement – et pour l’image des services rendus par les opérateurs mobiles.

Néanmoins, la nouvelle disposition relative au recueil et au traitement des réclamations des usagers en cas de brouillage suscite de vives inquiétudes de la part de certains acteurs. Ainsi, le projet d’article L 42-1, III du CPCE, fait exclusivement peser sur les opérateurs télécoms les coûts liés au recueil et au traitement des réclamations relatives à ces brouillages avec l’audiovisuel, s’agissant des fréquences issues du dividende numérique : « III. - S'agissant des fréquences affectées aux services de communications électroniques dans le cadre du schéma national de réutilisation des fréquences libérées par l'arrêt de la diffusion analogique institué par l'article 21 de la loi n° 86 1067 du 30 septembre 1986 relative à la liberté de communication, les titulaires d'autorisation d'utilisation de ces fréquences prennent les mesures nécessaires pour prévenir et traiter les brouillages préjudiciables occasionnés par leurs réseaux à la réception des services de communication audiovisuelle diffusés par les stations d’émission autorisées antérieurement par le Conseil supérieur de l'audiovisuel et prennent en charge les coûts liés au recueil et au traitement des réclamations relatives à ces brouillages. Ils informent l'Autorité de régulation des communications électroniques et des postes, le Conseil supérieur de l'audiovisuel et l'Agence nationale des fréquences des mesures prises à cet effet. ».

L’introduction d’une telle disposition dans le CPCE est particulièrement alarmante. Il s’agit en effet d’un transfert de responsabilité de l’Etat sur des opérateurs privés, alors que les prix de réserve, notamment pour les fréquences de la bande 800 Mhz, ont été fixés à un niveau élevé, ce qui suppose que lesdites fréquences peuvent être utilisées sans restrictions.
S’agissant d’une problématique d’intérêt général, qui conditionne le développement de l’internet mobile et de ses services, il nous semble légitime que la prise en charge des coûts liés au recueil et au traitement des réclamations relatives à ces brouillages soit assurée par l’ANFR, qui a pour mission de veiller au contrôle de l’utilisation des fréquences, et qui instruit notamment les cas de brouillage.

- Sur l’absence de délai de mise en oeuvre

La Directive devait faire l’objet d’une transposition dans le droit national de chaque Etat membre avant le 25 mai 2011. Ainsi, l’ordonnance fera l’objet d’une application immédiate dès le lendemain de sa publication au Journal Officiel.

Même si la consultation publique lancée par le Ministre de l’économie numérique a permis de publier les dispositions de celle-ci, certains articles - en particulier ceux relatifs à la prospection commerciale - nécessiteront de la part des acteurs du numérique une période de transition afin d’assurer une mise en conformité de leurs sites internet et pratiques.

Malgré l’absence d’une telle possibilité offerte dans la Directive, il serait sans doute important de donner aux acteurs du numérique une période transitoire de 3 ou 6 mois pour leur permettre d’assurer une mise en conformité.

Je vous prie de croire, Monsieur le Ministre, à l'assurance de mes sentiments les meilleurs.

Gilles Babinet
Pour le Conseil National du Numérique

Reply · Report Post