Intervention de André Reichardt

Monsieur le Président, mes chers collègues, j'excuserai, tout d'abord, mon collègue Jacques Bigot, avec lequel nous avons préparé cette communication, mais qui n'a pu nous rejoindre ce matin. Le 12 septembre dernier, la Commission européenne a présenté une proposition de règlement relatif à la prévention de la diffusion de contenus à caractère terroriste en ligne. Le président Juncker l'avait annoncée le même jour, dans son discours sur l'état de l'Union. La lutte contre l'utilisation abusive d'Internet à des fins terroristes représente un enjeu majeur. En effet, Internet constitue pour les terroristes un vecteur privilégié de diffusion d'informations opérationnelles, de recrutement, de radicalisation, de financement et d'incitation à passer à l'acte, avec une portée et des capacités de nuisance très grandes pour un coût limité - plusieurs attentats et tentatives d'attentats l'ont malheureusement démontré.

À titre liminaire, je souhaite présenter à grands traits la situation en France. Depuis dix ans, il existe une plateforme d'harmonisation, d'analyse, de recoupement et d'orientation des signalements (PHAROS), rattachée à l'Office central de lutte contre la criminalité liée aux technologies de l'information et de la communication de la police judiciaire. Elle est le point d'entrée unique national des pouvoirs publics pour le signalement des contenus illicites sur Internet : elle constitue ainsi l'observatoire des dérives du web et de son utilisation délictuelle.

Entre sa création, en 2009, et l'année dernière, le nombre de signalements annuels sur PHAROS est passé de 52 353 à 163 723, avec des pics liés aux attentats - plus de 188 000 signalements en 2015 - et à la propagande terroriste sur Internet. Toutefois, les contenus terroristes ne représentaient en 2018 que 2,8 % des signalements, loin derrière les escroqueries (55,1 %), la pédopornographie (12,6 %) et les contenus haineux ou discriminatoires (8,7 %). Je ne peux m'empêcher de faire le lien avec l'annonce du Président de la République d'une loi visant à faire retirer les contenus à caractère antisémite sur Internet.

PHAROS observe également l'évolution des pratiques de diffusion des contenus illicites. Dans les années 2010, les réseaux sociaux, en particulier Facebook et Twitter, sont devenus les principaux vecteurs de diffusion de tels contenus, à tel point que l'organisation État islamique a fait d'Internet l'élément central de sa stratégie de propagande et de recrutement : alors que Daech a subi un effondrement territorial, ses sympathisants pratiquent désormais un « cyberterrorisme ». La plateforme s'est également dotée de capacités de veille proactive, complément indispensable aux signalements, avec des outils automatisés permettant de détecter des adresses de diffusion. Depuis plus d'un an, elle a accès, à titre expérimental, à l'application d'Europol qui permet d'automatiser le signalement de contenus terroristes aux opérateurs d'Internet.

La suppression des contenus illicites, ou la limitation de leur accessibilité, est aujourd'hui inégale. Les principales plateformes de diffusion ont certes mis en place des dispositifs de modération. Mais ces dispositifs, désormais efficaces pour les contenus pédopornographiques, le sont beaucoup moins pour les discours de haine ou terroristes.

Depuis les attentats de 2015 néanmoins, l'article 6-1 de la loi pour la confiance dans l'économie numérique a renforcé les pouvoirs de l'Office central de lutte contre la criminalité : il peut enjoindre les hébergeurs de contenus illicites de les retirer, d'en demander le déréférencement aux moteurs de recherche, voire d'en obtenir le blocage par les fournisseurs d'accès à Internet français, selon une procédure toutefois relativement complexe. En matière de contenus terroristes, 12 100 mesures de retrait, 4 877 mesures de déréférencement et 51 mesures de blocage ont ainsi été prises en 2018.

Pour des raisons notamment budgétaires, le ministère de l'intérieur bloque les contenus par nom de domaine, ce qui est efficace contre les contenus pédopornographiques, qui sont concentrés sur un nombre réduit de sites, mais peu satisfaisant pour les contenus terroristes. Un blocage plus fin, au niveau des adresses URL, supposerait la mise en place, par les fournisseurs d'accès, d'infrastructures techniques nouvelles et très coûteuses. Dès lors, il n'est pas possible aujourd'hui de bloquer les contenus terroristes sans bloquer le site lui-même. L'internaute bloqué est automatiquement renvoyé vers une page d'information officielle du ministère de l'intérieur, indiquant les motifs de la mesure et les voies de recours. En 2018, 18 879 connexions ont été bloquées en matière de terrorisme, mais plus de 2,85 millions en matière de pédopornographie.

Au total, la France, grâce à sa plateforme PHAROS, est relativement en avance pour le signalement et le traitement des contenus illicites en ligne. Mais la situation reste très hétérogène en Europe.

J'en viens, à présent, au contexte de la proposition de règlement qui répond à plusieurs demandes du Conseil européen et s'inscrit dans une action européenne continue se déclinant en plusieurs étapes. D'une part, la mise en place, fin 2015, du Forum de l'Union européenne sur l'Internet : il s'agit d'un partenariat entre les grands acteurs de l'Internet, les États membres et la Commission, qui invite les entreprises du secteur à mettre en oeuvre, sur une base volontaire, des outils de détection automatique et à procéder, dans des délais rapides, au retrait et au déréférencement des contenus illicites sur la base de signalements, notamment de contenus incitant à la commission d'actes terroristes. De son côté, Europol s'est doté, en juillet 2015, d'une unité de référencement Internet (EU IRU). Celle-ci, après consultation des États membres concernés, recherche les contenus et sites Internet en lien avec le terrorisme afin d'en demander le retrait ou le déréférencement aux opérateurs. Ensuite, la Commission a présenté, le 28 septembre 2017, une communication relative à la lutte contre toutes les formes de contenu illicite en ligne, visant spécifiquement la responsabilité des plateformes en ligne. Enfin, une recommandation de la Commission sur les mesures destinées à lutter de manière efficace contre les contenus illicites en ligne a été adoptée, le 1er mars 2018, avec une approche fondée sur le volontariat et la coopération.

La proposition de règlement, que vient de présenter la Commission, vise à dépasser la démarche volontaire actuelle, qui donne des résultats insuffisants. D'autant plus que toutes les entreprises ne jouent pas le jeu, la messagerie Telegram par exemple. Le texte cherche aussi à éviter le risque de fragmentation du marché intérieur, alors que l'Allemagne a déjà voté une loi pour lutter contre les contenus de haine et terroristes, et garantir l'application uniforme du droit européen en assurant des conditions de concurrence équitables pour toutes les entreprises, y compris américaines.

La France, avec l'Allemagne, a fermement réclamé une telle initiative législative. Elle en fait une priorité forte. Notre pays s'est d'ailleurs exprimé en faveur d'une initiative du même type pour d'autres contenus illicites, les discours de haine en particulier, et notamment ceux sur l'antisémitisme qui malheureusement prospèrent sur Internet et ne peuvent que nous préoccuper.

Le texte proposé par la Commission impose le retrait d'un contenu terroriste dans l'heure, par tout fournisseur de services d'hébergement ayant un lien étroit avec l'Union européenne, à la demande d'un État membre. Cette règle, dite golden hour, est importante dans l'économie générale du dispositif, car il apparaît que 33 % des liens vers des contenus terroristes se propagent en l'espace d'une heure, et 75 % en quatre heures. Il est donc indispensable d'intervenir très rapidement. Le retrait sur une base volontaire demeure en parallèle ; il peut reposer sur des signalements qui pourront notamment être adressés par Europol. Le contenu pourra être conservé six mois.

Outre l'obligation générale de prévention par des mesures proactives, le texte prévoit également l'obligation pour les fournisseurs de services d'hébergement de désigner un point de contact disponible 24 heures sur 24 permettant de recevoir des injonctions de suppression et des signalements et d'en assurer un traitement rapide, ce point de contact n'étant pas nécessairement situé sur le territoire de l'Union européenne.

Ce texte prévoit également la désignation par les États membres d'un point de contact pour traiter les demandes de précisions et de retour d'information, en rapport avec les injonctions de suppression et les signalements émis par leurs soins via, en France, la plateforme PHAROS ; un dispositif de sanctions représentant jusqu'à 4 % du chiffre d'affaires annuel de la société - même si les plateformes les moins importantes peuvent être au premier chef concernées par ce dispositif -, ainsi que l'obligation de présenter un rapport de transparence annuel.

Ce dernier point n'est pas sans importance. En effet, plusieurs grandes entreprises américaines du web publient chaque année des rapports de transparence, qui consistent surtout à communiquer sur le volume de sollicitations qu'elles reçoivent de la part des pouvoirs publics. Mais ces rapports, laconiques sur les moyens alloués aux services de modération, sur les critères de réponse aux demandes officielles et sur les moyens techniques engagés, répondent assez peu aux attentes des autorités. La Commission a ainsi critiqué le manque d'homogénéité de ces rapports, qui rend difficile toute comparaison pertinente.

Durant les négociations au Conseil sur ce texte, deux groupes d'États membres se sont distinctement dessinés. Ils rassemblent, d'une part, les partisans d'une approche contraignante, notamment la France, l'Allemagne ou le Royaume-Uni, et, d'autre part, ceux qui considèrent que l'approche volontariste et coopérative produit des résultats méritant d'être encouragés et qu'il n'est pas nécessaire de créer des obligations juridiques ni des sanctions ; il s'agit essentiellement de pays d'Europe du Nord et baltes, ainsi que d'Europe de l'Est.

Les principaux éléments du texte se retrouvent néanmoins dans le compromis adopté par le Conseil Justice et affaires intérieures du 6 décembre 2018, ouvrant la voie aux trilogues.

Si cette proposition de règlement constitue une réelle avancée, dont les autorités françaises sont globalement satisfaites, elle présente néanmoins certaines limites. Et certaines de ses dispositions sont controversées.

En premier lieu, le texte n'a pas pris en compte la possibilité pour un État membre d'influer sur les opérateurs installés dans un autre État membre. En effet, un État peut discrétionnairement apprécier les mesures proactives que doivent prendre ses opérateurs, mais ne peut infliger de pénalités à un opérateur installé dans un autre État qui ignorerait ses injonctions de retrait. En outre, s'il adresse une injonction de retrait à un opérateur installé dans un autre État, il doit informer l'autorité compétente de l'État d'établissement qui peut lui adresser des observations, non contraignantes cependant.

Une ligne de partage est apparue entre les États membres s'exprimant en faveur d'une compétence nationale forte sur l'ensemble des opérateurs, et ceux souhaitant, à l'inverse, que l'État membre dans lequel est installé le fournisseur de services d'hébergement ait une compétence exclusive pour réguler ce dernier et le sanctionner. La Présidence a fait évoluer le texte dans le sens de ces derniers, sans pour autant aller jusqu'à dénier aux autorités compétentes la possibilité d'émettre des injonctions de retrait à l'encontre d'opérateurs installés dans d'autres États membres. Il conviendra donc de rester vigilant sur ce point lors du trilogue qui s'est engagé avec le Parlement européen.

Plus généralement, trois points d'attention sont à prendre en compte lors des négociations avec le Parlement européen. Premièrement, la définition des contenus à caractère terroriste comporte l'apologie du terrorisme, qui correspond à une infraction en droit français, mais certains États membres y sont hostiles pour des raisons tenant au respect de la liberté d'expression. Il sera ainsi important pour nous que cette incrimination d'apologie demeure dans le texte définitif. Deuxièmement, le régime des sanctions applicables en cas de manquement aux obligations incombant aux fournisseurs de services d'hébergement sera déterminé par les États membres. Cette absence d'harmonisation risque de favoriser les États moins-disants, même s'il est vrai que le principe de sanctionner les opérateurs n'était pas acquis au départ. Troisièmement, la tentation est grande au Parlement européen de vouloir distinguer entre grandes et petites plateformes Internet, en allégeant les contraintes des secondes qui n'auraient pas les moyens, techniques ou financiers, de mettre en oeuvre l'ensemble des dispositions du texte. Pourtant, cette perspective doit être écartée car elle entraînerait une migration des contenus terroristes des grandes plateformes, celles qui sont aussi les plus visibles et donc les plus surveillées, et qui sont déjà les plus vertueuses, vers les petites.

Les terroristes s'adaptent très vite aux méthodes de travail des services et des opérateurs ; il ne paraît pas nécessaire de leur faciliter la tâche. D'autant plus qu'un autre phénomène inquiétant pourrait apparaître : en effet, selon PHAROS, le dark web ne constitue pas, jusqu'à présent, un vecteur important de diffusion de contenus illicites car leurs auteurs recherchent précisément à maximiser leur audience. Or, la lutte contre ces contenus sur l'Internet grand public pourrait inciter les terroristes à occuper le dark web, avec les difficultés que cela implique pour faire procéder à des retraits.

Enfin, des voix se sont élevées pour critiquer certaines dispositions du texte, au motif que les mesures proactives de détection automatique accorderaient trop de place à des algorithmes prédéfinis ou que les garanties ne seraient pas suffisantes pour assurer la protection des données et des libertés fondamentales. La crainte des sanctions pourrait également conduire les plateformes à retirer des contenus légaux, voire à pratiquer l'autocensure. On notera qu'en France, ces différentes critiques sont notamment portées par le Conseil national du numérique.

Ces critiques paraissent toutefois excessives dès lors que les mesures proactives, qui visent à empêcher la réapparition de contenus déjà supprimés, seront prises au cas par cas et que les sanctions doivent être effectives, proportionnées et dissuasives.

Je voudrais conclure en insistant sur la brièveté des délais pour achever les négociations sur ce texte avant la fin de la législature. Les autorités françaises nous disent encore maintenir cet objectif, mais celui-ci paraît difficile à tenir dans le contexte que nous connaissons.