La réunion est ouverte à 14 heures 05.
Je tiens tout d'abord à excuser le Président de notre mission d'information, M. Gaëtan Gorce, retenu par d'autres engagements.
Permettez que nous vous félicitions, Monsieur Albrecht, pour votre succès aux élections de dimanche dernier, qui n'ont été guère faciles en Europe. Nous avons grand plaisir à avoir cet échange avec vous, tant il est vrai que vous êtes particulièrement impliqué, en tant que rapporteur de la commission des libertés civiles, de la justice et des affaires intérieures, dans le projet de règlement relatif à la protection des données.
Je vous remercie de vos félicitations. Nos travaux vont recommencer dans quelques semaines, et l'échange que nous avons aujourd'hui est donc important, spécialement en matière de protection des données.
Vous êtes l'auteur d'un rapport sur le projet de règlement sur la protection des données à caractère personnel : pouvez-vous nous rappeler vos objectifs et les points les plus saillants de vos préconisations ?
L'idée du règlement sur la protection des données n'a pas consisté à reformuler totalement le droit en la matière. Il s'agit plutôt, sans s'écarter des principes existants dans la directive de 1995, d'harmoniser ce droit de manière à construire le marché intérieur.
Or, cette directive de 1995 a été transposée de vingt-huit manières distinctes, dans un marché intérieur unique, avec des règles de concurrence différentes. Les dispositions ne sont donc pas les mêmes d'un pays à l'autre ; cela présente une certaine insécurité juridique, aussi bien pour les entreprises que pour les utilisateurs, les citoyens ne connaissant pas le droit applicable.
C'est le défi auquel le Parlement européen a décidé de s'attaquer car, si l'on bénéficie d'un marché unique, avec des produits numériques et des flux de données transfrontaliers, on ne sait plus où sont exactement stockées les données. Il nous faut donc une réglementation unifiée en matière de protection des données.
C'est sur la base de cette situation que nous avons commencé à négocier concrètement. La première question à se poser est celle des définitions. Celles de 1995 sont-elles toujours valables ? Sont-elles suffisamment concrètes ? Que représentent les données à caractère personnel ? Il existe beaucoup de données, mais elles n'ont pas toutes un caractère personnel.
On s'est également interrogé sur le fait de savoir comment relier la collecte des données avec leur utilisation ; en effet, beaucoup sont collectées sans que l'on sache comment elles sont ensuite utilisées. On a ainsi essayé de limiter les utilisations à mauvais escient.
De nouvelles idées ont également émergé, comme le fait de savoir comment intégrer les principes de la protection des données dans la technologie, en particulier en matière d'équipements. On a aussi fixé un certain nombre de règles concernant le Data Profiling ou le Data Mining, la mise en place de profils de personnalités pouvant être liée à la protection des données ; dans ces domaines, nous sommes parvenus en grande partie à des solutions de compromis. Je suis très fier de dire que l'on pourra proposer un standard uniforme européen, avec un degré de protection suffisant, permettant également d'avoir le même niveau de concurrence pour toutes les entreprises à travers l'Europe.
La protection des données repose aussi sur la possibilité de faire appliquer des sanctions. Les entreprises tirent une grande partie de leur chiffre d'affaires du traitement des données : il faut donc pouvoir leur offrir la possibilité d'intégrer cette notion dans leur budget.
On ne peut se contenter de laisser perdurer la situation. Il faut que les consommateurs européens sachent qu'il existe une réglementation européenne, et qu'ils peuvent s'appuyer sur celle-ci. C'est le sens dans lequel nous avons voulu aller, et nous avons fait un pas vers le marché numérique européen. La protection des données est un premier élément ; nous aurons bien sûr d'autres débats, comme par exemple celui portant sur la propriété intellectuelle.
Votre rapport a été adopté il y a deux mois par le Parlement européen à une large majorité, de plus de 500 voix. Vous avez parlé de compromis : quels sont les points qui, pour vous, ont fait l'objet d'un compromis et qui auraient mérité d'aller au-delà ?
En second lieu, que pensez-vous qu'il advienne du texte de votre rapport au moment du trilogue entre le Parlement, le Conseil et la Commission ? Doit-on redouter que certains pays, comme la Grande-Bretagne, ou d'autres, surnégocient vos propositions ?
Ce sont effectivement là deux points essentiels de la future procédure.
Trois grands domaines sont concernés par les compromis que nous avons négociés dans le cadre de ce règlement sur la protection des données. Le premier réside dans le fait de savoir quand autoriser le traitement de données à caractère personnel.
Nous souhaitions tout d'abord savoir à quel moment l'accord de la personne s'avérait nécessaire, et voulions définir l'intérêt légitime : le consommateur peut-il accepter qu'une entreprise collecte les données qui l'intéressent, dès lors qu'il réalise un achat dans cette entreprise ? Je pense qu'il existe finalement très peu de cas où les utilisateurs considèrent que leurs données sont collectées sans accord préalable. Dans le marketing direct, des listes sont utilisées pour envoyer de la publicité. La même chose existe sur l'Internet, qui traite nos données personnelles, alors que l'on n'a rien demandé !
C'est un domaine extrêmement important, sur lequel nous avons beaucoup travaillé. Nous avons conclu qu'il fallait pouvoir tabler sur un fonctionnement dynamique. Les attentes des consommateurs évoluent, et il doit exister un lien entre le consommateur et celui qui collecte les données. On ne peut en effet accepter qu'il n'en aille pas ainsi.
En second lieu, il sera également nécessaire de réaliser une évaluation de l'impact sur la protection des données à partir du moment où l'on met un produit sur le marché, ou de déterminer dans quelle mesure les entreprises doivent disposer d'une personne chargée de la protection des données, en fonction du nombre de salariés ou de l'activité, par exemple. Il faudra aussi que les entreprises s'adressent obligatoirement au responsable de la protection des données pour déterminer si elles peuvent ou non utiliser telle ou telle donnée. Il conviendra enfin de tenir compte du coût que cela représente pour ceux qui sont en charge de la protection des données.
Faudra-t-il, en troisième lieu, dans le futur, qu'une administration spécialisée se charge du traitement de ces questions, ou bien l'intégrer dans une coopération européenne plus large ? Nous aurions par exemple la possibilité, pour des consommateurs français ou italiens, de voir le sujet traité à l'échelon européen.
Les administrations chargées de la protection des données seront de toute façon amenées à collaborer de plus en plus étroitement à l'échelon européen. Lorsque des mesures sont à prendre, il est nécessaire d'avoir l'accord des autres pays, et il peut exister des problèmes de mise en oeuvre. Il est donc indispensable de mettre en place un mécanisme fonctionnel.
Ce sont les trois domaines à propos desquels se dégage un consensus. On devrait parvenir à trouver une position commune avec le Conseil. Le Conseil des ministres débat de ce sujet depuis maintenant deux ans ; renvoyer la discussion devant le nouveau Parlement européen n'aurait aucun sens ! Si la Grande-Bretagne, ou d'autres pays, ne sont pas d'accord, le Conseil des ministres devra constater l'absence de consensus -mais je n'imagine pas que ces pays n'acceptent pas une réforme de ce type. Il faut trouver des solutions : s'ils ont des réserves, encore faut-il qu'elles s'intègrent dans une volonté commune de parvenir à un résultat.
Quelles sont, selon vous, les chances que le Conseil des ministres conserve la disposition que le Parlement a introduite dans le projet de règlement de la Commission européenne, qui vise à soumettre le transfert de données personnelles des Européens vers les États tiers à l'autorisation des autorités de protection des données ?
Au cours des deux dernières années, le Parlement européen a eu des contacts réguliers et des échanges intensifs dans ce domaine avec la Commission européenne.
Depuis le début, nous avons eu la volonté de parvenir rapidement à un accord entre le Parlement et le Conseil. La question de l'échange des données avec les pays tiers a fait l'objet d'un débat approfondi ; le problème de la surveillance de certaines personnes ou de certaines entreprises a été pris en compte, et nous sommes partis du principe que le transfert de ces données ne peut s'effectuer que si l'on a une base légale à l'échelon européen, soit par le biais de la loi sur la protection des données, soit par le biais des administrations chargées de leur protection, ou dans le cadre d'un accord spécifique entre l'Union européenne et le pays concerné. C'est ce qui a fait l'objet des discussions entre le Conseil et le Parlement.
Quelle est votre réaction à l'arrêt de la Cour de Justice de l'Union européenne, rendu en avril dernier, invalidant entièrement la directive du 15 mars 2006 sur la conservation des données ? Cet arrêt aura-t-il des conséquences sur le nouveau règlement européen en discussion ?
L'arrêt de la Cour de Justice de l'Union européenne concernant la conservation des données constitue une étape clé. C'est, selon moi, une orientation importante. C'est en effet la première fois que la Cour de Justice de l'Union européenne joue un rôle de tribunal constitutionnel, en s'appuyant sur les droits fondamentaux de l'Union européenne. Le message est tout à fait clair : on a considéré que le traitement et la conservation des données portaient atteinte aux droits fondamentaux, et que ceci devrait être justifié par une base légale.
La conservation des données pour raisons de sécurité doit également reposer sur une raison valable. Je pense que c'est une position très claire. Il faut un soupçon concret. Ceci doit être considéré dans le cadre de la réforme du droit de la protection des données.
Une telle décision peut-elle accélérer la constitution d'un cloud européen, dans la mesure où celui-ci garantirait la conservation des données sur le territoire, avec toutes les exigences que l'Europe met autour de cette conservation ?
Il ne faut pas simplement parler d'un cloud européen, mais d'un espace juridique européen. Ce qui est important, c'est que l'on applique le droit de l'Union européenne dans l'Union européenne, et non celui d'autres pays. C'est une préoccupation tout à fait légitime, et il faut que les choses soient claires.
Ceci ne peut fonctionner que si l'on est dans l'obligation d'appliquer le droit européen. À partir du moment où l'on déplace les ordinateurs et les serveurs à l'extérieur de l'Union européenne -par exemple aux États-Unis- les données seront traitées ailleurs ; dès lors, c'est un autre droit que le nôtre qui s'appliquera : il faut faire en sorte que ce ne soit pas possible ! On a besoin de règles qui empêchent les entreprises de transférer ces données dans des pays tiers, sans base juridique, ni autorisation ou nécessité.
La conservation des données par d'autres pays ne doit pas permettre de ne pas appliquer les droits fondamentaux européens. Aux États-Unis, au titre du Privacy Act, les citoyens de l'Union européenne n'ont aucun droit sur la protection de leurs propres données. Il est important de le souligner. Il faut donc continuer à travailler en ce sens, sans se limiter à la notion de concurrence.
Quel jugement portez-vous sur le Safe Harbor, dont une résolution du Parlement européen a demandé la suspension ? Croyez-vous que la négociation entre l'Union européenne et les États-Unis pour renforcer le Safe Harbor peut être concluante ? Peut-on espérer que les États-Unis signent la Convention 108 du Conseil de l'Europe, qui permettrait d'assurer une protection juridique suffisante pour les données personnelles des Européens ?
La demande de dénonciation de l'accord Safe Harbor est tout à fait justifiée, dans la mesure où une telle déclaration ne peut être acceptée que si elle est vraiment appliquée et garantit un niveau comparable aux règles européennes existant en matière de protection des données. Je pense qu'il est temps que la Commission pèse de tout son poids sur la mise en place de normes de protection transatlantiques. C'est très important, mais l'on n'y parviendra que si l'on exerce des pressions fortes en menaçant de dénoncer cet accord Safe Harbor.
En ce qui concerne la convention 108, il serait judicieux que d'autres États adhèrent à cette convention, mais ce ne sera pas suffisant. Nous avons en effet besoin de règles concrètes, et il n'existe pour l'instant aucune base suffisante pour cela. Il faut donc à la fois renforcer la législation et parvenir à un accord transatlantique.
Notre mission commune d'information sur la gouvernance de l'Internet et sur le rôle que l'Europe pourrait jouer dans ce domaine a été mise en place à la suite des révélations de M. Snowden.
Selon vous, l'Europe devrait-elle légiférer pour mieux protéger les données personnelles des Européens contre le comportement excessivement intrusif de nos agences de renseignements ?
La publication de ces articles montre qu'il est essentiel de garantir ces droits fondamentaux en Europe. Aussi avons-nous affirmé, dans notre rapport d'investigation, qu'il fallait apporter certaines améliorations à ce sujet. On ne peut admettre que les échanges entre les services de renseignements contournent les lois. Les services secrets britanniques surveillent les Français, les Français surveillent les citoyens allemands, etc., et chacun échange des données comme bon lui semble ! Ceci n'est pas approprié, et il nous faut des règles communes dans ce domaine.
Toutefois, les questions de sécurité étant considérées comme relevant de la compétence exclusive des États, il va nous falloir des règles transitoires négociées entre eux.
Il n'y a pas que le contrôle qu'exercent les services de renseignements ; il y a aussi l'utilisation des données qui peut être réalisée. Les ordinateurs des municipalités utilisent beaucoup de matériels Microsoft. Il est clair que les mairies doivent respecter certaines exigences en matière de protection, mais elles ne peuvent pas nécessairement le faire, Microsoft empêchant que l'on pénètre à l'intérieur de ses logiciels. Il est important que des avancées soient réalisées en matière de protection des données liées à la technologie. Actuellement, ces dispositions ne sont pas suffisamment appliquées. C'est ce que nous voulons résoudre à travers la réglementation. Nous croyons en effet qu'il existe un potentiel d'améliorations important en matière de sécurité, et que cela va dans le sens du respect des droits fondamentaux.
Vous avez évoqué la possibilité de disposer, au sein des entreprises, d'une personne chargée des données personnelles en fonction de la taille de la société. La commission des affaires européennes du Sénat a eu ce débat, il y a un an et demi à deux ans, à propos du projet de règlement proposé par Mme Reding. Nous étions alors arrivés à la conclusion que le critère de taille était obsolète au regard du fait que des sociétés de 25 personnes gèrent parfois des millions de données : Facebook, il y a cinq ans, avait moins de 150 salariés, et gérait déjà des centaines de millions de données personnelles ! A-t-on avancé sur ce point ?
C'est une question qui a fait l'objet de discussions très approfondies. L'idée qui prévaut, au sein du Parlement européen, est qu'il est important d'avoir des responsables de la protection des données, car il n'est techniquement plus possible de contrôler l'ensemble des flux des administrations. Un contrôle interne est donc nécessaire ; en Allemagne, de plus en plus d'entreprises ont des responsables de la sécurité des données. La Commission européenne considère qu'à partir d'un certain nombre de salariés, on a besoin d'un responsable, mais tout ceci est passé de mode, une personne seule, dans son garage, pouvant traiter des millions de données ! Ce n'est donc pas le nombre de salariés qui doit être pris en compte, mais le nombre, le volume ou le caractère des données. Au bout du compte, il faudra bien trouver une solution à cette question. La question essentielle qui va se poser au Conseil est de savoir si l'on met ou non en place une obligation dans ce domaine. Je pense qu'il serait très utile que le Conseil aille en ce sens.
On a également envisagé la possibilité de charger de cette mission une société de conseil externe, ou un salarié à temps partiel, en fonction des volumes qui doivent être traités. Il ne s'agit pas d'ajouter une bureaucratie compliquée à l'ensemble, mais de mettre en place des critères minimums. On a besoin d'un responsable des ressources humaines : c'est ainsi qu'il faut considérer cette fonction.
Nous avons débattu hier, dans l'hémicycle du Sénat, de la protection des données biométriques qui, pour nous, soulèvent des interrogations spécifiques. Pensez-vous qu'il faille leur réserver un traitement particulier ?
Nous avons des règles particulières pour le traitement de certaines données, comme celles concernant la santé. Nous avons rédigé des règlements-cadres qui pourront ensuite être spécifiés nationalement. Nous ne pourrons, dès le départ, fixer des règles harmonisées pour tous les types de données. Je pense qu'il est bon qu'il existe un certain espace pour les États, en particulier en matière de données de santé, ou en ce qui concerne les données sensibles.
Pour ce qui est des données biométriques, je pense qu'il conviendra de fixer des exigences et des critères additionnels. Lesquels ? Ceci touche le secteur de la santé et restera donc du ressort des législations nationales. De nombreuses discussions ont eu lieu à ce sujet, mais nous ne pouvons, pour l'instant, pas traiter de tous les types de données dans le détail. Nous allons donc nous concentrer sur de grandes orientations générales. Je pense qu'il est néanmoins possible de continuer à discuter de ces questions dans le cadre des négociations, afin de parvenir à des résultats plus concrets.
Les techniques de reconnaissance faciale, les empreintes, destinées à faciliter un certain nombre de services et d'usages, comme par exemple la cantine, sont les plus susceptibles de poser des questions.
Les données biométriques, dans tous les cas, sont considérées comme sensibles, et doivent être traitées comme telles. Ceci signifie que des conditions-cadres plus strictes devront être fixées en matière de traitement de ces données. Pour l'instant, on n'a pas spécifié les objectifs pour lesquels ces données peuvent être utilisées ; des lois nationales qui fixent les modalités de traitement et d'utilisation de ces données sont selon moi nécessaires.
Cela concernera les institutions publiques qui seront chargées du traitement de ces données, mais également les entreprises privées. Il est important que les conditions soient précisées.
Nous vous remercions infiniment pour ces réponses, qui permettront d'éclairer notre réflexion.
Je suis à votre disposition. Votre travail m'intéresse beaucoup, et je suis prêt à échanger à nouveau avec vous.
La séance est levée à 15 heures
La réunion reprend à 15 heures 05.
Merci d'avoir accepté de nous rencontrer une nouvelle fois pour nous entretenir d'un sujet que vous connaissez bien.
Pouvez-vous nous fournir quelques éléments d'appréciation sur la Conférence mondiale sur la gouvernance de l'Internet qui s'est déroulée fin avril au Brésil, le NETMundial, auquel vous avez participé activement en tant que représentant de notre pays ? Pouvez-vous évoquer la façon dont le texte a été élaboré ? Quels ont été les grands points de consensus et, au contraire, les questions restées en suspens ?
Au lendemain de cette manifestation, quelles sont désormais les perspectives de travail et les étapes, ce texte ne constituant pas, malgré tout, une déclaration très contraignante ? Quelles questions pourraient se poser ?
Je suis flatté d'être invité deux fois de suite par votre mission commune d'information ; cela doit signifier que j'ai des choses à dire !
Ainsi que vous l'avez dit, j'ai été le représentant du Gouvernement français, Mme Axelle Lemaire, secrétaire d'État chargée du numérique, ayant toutefois bien voulu faire le déplacement durant les trois premières demi-journées, ce qui a été une très bonne chose. Le fait que la secrétaire d'État marque cette manifestation de sa présence a démontré l'intérêt de la France pour l'exercice, d'une part, et pour le sujet en général, d'autre part.
Le statement, que l'on pourrait traduire en français par « déclaration », ce qui donne une connotation positive à la qualité du document final, est, de mon point de vue, très bon, et ce pour trois raisons.
Tout d'abord, les derniers événements de ce type, comme le Sommet mondial sur la société de l'information, remontent à 2003 ou 2005. Depuis, nous n'avons cessé de dire que nous voulions une réforme de la Société pour l'attribution des noms de domaine et des numéros sur l'Internet (ICANN), afin que celle-ci s'ouvre davantage et soit moins opaque, l'ICANN n'étant qu'un des sujets traités à Sao Paolo.
Il y a onze mois, les révélations d'Edward Snowden ont amené d'autres confessions, notamment sur les programmes de surveillance des gouvernements brésiliens, français, espagnols et autres. Le point le plus marquant a été la colère de la présidente Rousseff qui, en septembre 2013, a prononcé un discours devant l'Assemblée générale des Nations unies, puis déposé une résolution avec l'Allemagne devant cette même instance, co-sponsorisée par la France, et qui a été adoptée.
Concomitamment, Mme Rousseff a annoncé son intention d'organiser une conférence multi-parties prenantes au Brésil, deux semaines après la déclaration de Montevideo, dans le courant de la seconde quinzaine d'octobre 2013.
Le point de départ a donc été un grand désordre : aucune idée sur la méthode, ni sur les participants ou sur l'objectif, mais un accord sur le fait qu'il existait un problème, et qu'il fallait tenter de le résoudre au plus vite !
Le résultat est, au final, excellent car un résultat apparaît dans ce chaos, comme si le sentiment de l'urgence l'avait emporté sur toutes les questions d'organisation, de méthodologie, etc. Une conjonction de bonnes volontés a permis que la conférence se tienne dans un délai extrêmement rapproché de l'annonce. Certainement y avait-il des considérations de politique intérieure pour Mme Rousseff, du fait de l'élection présidentielle qui doit avoir lieu au Brésil dans quelques mois, ce qui est une très bonne chose !
En second lieu, la méthodologie s'est construite en avançant. Le premier grand élément d'accord réside dans le fait que Mme Rousseff a souhaité réaliser une conférence multi-parties prenantes -multi stakeholders- et non intergouvernementale, ce qui était sa déclaration initiale.
Cette conférence a permis une très large consultation, très bien organisée, qui a réuni plus de 190 contributions, via le site NETMundial, dans les semaines et les mois précédant la conférence elle-même. Plusieurs rounds d'échanges sur les textes ont eu lieu de manière fort efficace, notamment grâce à l'utilisation de logiciels d'analyse lexicographique, qui ont permis à l'équipe brésilienne qui a préparé la conférence d'analyser toutes les contributions de manière rapide et objective.
J'ai personnellement ressenti une très grande fluidité dans l'organisation et le déroulement des débats. C'est une chose que l'on voit assez peu : soit c'est le désordre absolu, soit c'est un fonctionnement particulièrement bureaucratique, comme on le voit dans d'autres enceintes que je ne citerai pas. Tout s'est pratiquement déroulé en plénière, avec 800 personnes dans la salle qui pouvaient prendre la parole. On n'a pas compté le nombre d'orateurs, mais c'était très bien fait, et tous ceux qui souhaitaient intervenir ont pu le faire pour un laps de temps extrêmement réduit - deux minutes -, à l'américaine : on coupe le micro lorsque le gong retentit, ce qui oblige à la clarté et à la concision !
Pour moi, qui ai participé à bon nombre de conférences internationales, la chose était assez nouvelle. Ceci a créé une certaine dynamique. Les intervenants présents pouvaient s'exprimer sans avoir le sentiment que leur parole était gênée ; du coup, beaucoup d'idées ont été mises en avant.
Toutefois, la rédaction du texte n'a pas été réalisée en plénière. C'est peut-être là l'aspect le plus négatif. Deux comités de rédaction se sont réunis, l'un ayant travaillé sur la rédaction de la déclaration des droits, l'autre sur la feuille de route.
Ces comités ont été créés à l'avance, avec une tentative de représentation de tous les groupes, ce qui a été moins satisfaisant, en ce sens que certaines positions consensuelles n'ont pas été transposées dans le premier texte, qui a ensuite été soumis aux participants. J'y ai décelé une volonté de certains membres des groupes de rédaction d'imposer quelques-unes de leurs vues. On est passé par moments assez près de dispositions extrêmement embarrassantes, notamment pour nous, mais également pour beaucoup d'autres catégories de parties prenantes.
Néanmoins, ces comités de haut niveau constitués en instance de préparation et d'appel, composés de douze gouvernements de haut niveau, dont la France, et de douze autres participants issus des différentes catégories de parties prenantes, ont pu réaliser ce travail de filtrage des propositions les plus difficiles pour un certain nombre d'entre nous. Je l'ai notamment fait durant les dernières minutes avant la clôture de la conférence, quelques dispositions nous gênant plus particulièrement.
Cette conférence de São Paulo est apparue comme une réponse à une attente de la communauté de l'Internet, un lieu de rendez-vous où chacun a pu parler et où l'on a pu aboutir à des conclusions, contrairement aux trois instances que nous connaissons, qui ont toutes des avantages et des défauts.
Tout d'abord, l'Union internationale des télécommunications (UIT) n'est en effet pas en charge la gouvernance de l'Internet -même si beaucoup de sujets traités sont mitoyens. En second lieu, bien qu'il s'agisse d'une instance multi-parties prenantes, où plus de 900 entreprises sont représentées, son fonctionnement reste pour l'essentiel intergouvernemental. De fait, la société civile ne la juge pas suffisamment légitime pour traiter certains sujets, comme celui des usages, par exemple.
L'ICANN, comme chacun le sait, présente un certain nombre des défauts et son mandat est technique. L'étroitesse de celui-ci, ainsi que les soupçons qui portent sur son travail et son action, font que ce n'est pas non plus l'instance légitime pour traiter de tous les sujets dont nous avons traité.
En troisième lieu, le Forum de la gouvernance de l'Internet (FGI) est une instance par définition très légitime, étant multi-parties prenantes, placée sous l'autorité lointaine du Secrétaire général des Nations unies, mais a bien du mal à se gouverner lui-même et ne conclut jamais, ce qui constitue un manque.
São Paulo a donc objectivement répondu à une attente.
Le texte est par ailleurs très équilibré ; en outre, la perspective de São Paulo a sans doute provoqué l'annonce, par le département du commerce américain, de son intention d'organiser une transition en matière de supervision des fonctions de l'Internet Assigned Numbers Authority (IANA) et, à plus long terme, concernant l'affirmation of commitments de l'ICANN, qui constitue un aspect majeur du sujet.
Les autorités américaines ont été mises dans une situation où elles savaient qu'elles allaient devoir faire face, lors du rendez-vous de São Paulo, à une bronca générale au sujet de la surveillance de masse. Pour ces autorités, il était impossible de donner le sentiment de faire des concessions sous la pression. Le Gouvernement américain, en particulier Larry Strickling, avec l'accord de la Maison Blanche, a donc décidé d'annoncer par anticipation la transition des fonctions de l'IANA avant São Paulo. C'est là la façon dont tous les acteurs ont analysé les choses. C'est le résultat le plus important.
Je ne vois pas d'aspects négatifs, à une exception près : en effet, le texte n'a pas su traiter de la question de la neutralité du Net. J'ai pris la parole pendant la plénière pour dire qu'il était très important, pour le Gouvernement français, que les conditions d'accès au Net restent non discriminatoires et égales. Il n'y a pas eu de consensus entre les parties prenantes présentes à São Paulo à propos d'une rédaction possible pour traiter de la question de la neutralité du Net. Les opérateurs télécoms avaient une idée en tête ; la société civile en avait plusieurs autres, Google et d'autres compagnies également. Quant aux gouvernements, ils étaient sans doute les moins impliqués dans ce débat. Le résultat est là : au moins la discussion a-t-elle eu lieu. Elle a été engagée ; comme vous le savez, elle se poursuit dans plusieurs enceintes différentes. On n'est pas au bout du débat. Je pense donc que, sur ce sujet, il était prématuré d'arriver à São Paulo à une rédaction consolidée et consensuelle. Toute la logique de São Paulo réside en effet dans une approche consensuelle qui, au fond, a été acceptée par tout le monde, à l'exception de quelques États.
Le plus positif, du point de vue du Gouvernement français, réside dans ce que nous avons obtenu à São Paulo, au cours de la réunion : ainsi, la mention explicite des droits d'auteur -je cite : « Everyone should have the right to access, share, create and distribute information on the Internet, consistent with the rights of authors and creators as established in law ». Ceci est fondamental pour nous ; cela n'a pas été facile, mais nous y sommes arrivés.
Nous avons également obtenu, difficilement, et en dernière limite, contre les représentants de la société civile, le retour à un langage qui nous convenait au sujet des responsabilités des intermédiaires sur l'Internet : « Intermediary liability limitations should be implemented in a way that respects and promotes economic growth, innovation, creativity and free flow of information ». La bataille a été difficile : dans ces instances, si vous demandez la protection du droit d'auteur, les autres parties prenantes -notamment la société civile- demandent que ceci soit accompagné d'un paragraphe sur la responsabilité des intermédiaires, etc. En dernier ressort, je suis intervenu au sein du comité de haut niveau et obtenu qu'on en revienne, sur cette partie, à une rédaction qui avait été agréée à l'OCDE et qui avait demandé beaucoup de temps. J'ai dû créer une coalition, qui m'a surpris moi-même, avec les représentants de Walt Disney et de la Fox, contre un certain nombre de représentants de la société civile, qui étaient favorables à une rédaction qui ne nous convenait pas du tout !
Dans cet ensemble, on trouve également la mention de la nécessaire coopération de toutes les parties prenantes dans la lutte contre les activités illégales sur l'Internet : « In this regard, cooperation among all stakeholders should be encouraged to address and deter illegal activity ». Dans notre esprit, il s'agit de la lutte contre le piratage et toutes les autres formes d'activités illégales sur l'Internet. Il était important pour nous de rappeler que nous ne pourrons arriver à des résultats tangibles qu'au prix d'une véritable coopération entre toutes les parties prenantes.
Le rappel -que nous avions demandé depuis le début de cette négociation- que les droits offline doivent être protégés online figure également : « Rights that people have offline must also be protected online », en accord avec les traités internationaux sur les droits de l'homme.
S'agissant des programmes de surveillance de masse, les Américains se sont démenés pour éviter des rédactions trop agressives, mettant en avant le fait qu'elles étaient imprécises et juridiquement inopérantes. Nous sommes très contents du résultat final ; nous nous en sommes tous sortis en revenant au texte précis de la résolution, que nous avions coparrainée et adoptée lors de la dernière Assemblée générale des Nations unies, que le Brésil et l'Allemagne avaient initiée et dont le vocabulaire est selon moi excellent. Le langage est à la fois direct et exigeant. On le retrouve dans la première comme dans la deuxième partie de la déclaration finale de São Paulo.
Nous avons également obtenu la mention de la recherche de la diversité culturelle sur l'Internet, en ligne avec la convention de l'UNESCO sur la diversité culturelle. Je trouve la gouvernance multi-parties prenantes pour une fois bien décrite, suffisamment souple et non doctrinaire, ce qui va permettre d'avancer : « Internet governance should be built on democratic, multistakeholder processes, ensuring the meaningful and accountable participation of all stakeholders, including governments », etc. En français, le rôle et les responsabilités respectives des parties prenantes doivent être interprétés d'une manière souple, en relation avec les problèmes en discussion. Ceci est extrêmement important, car on peut ainsi sortir du vocabulaire doctrinaire, qui est désormais une sorte de lieu commun des discours sur la gouvernance de l'Internet, où l'on dit que toutes les parties prenantes doivent avoir le même rôle et la même voix au chapitre, ce qui n'est évidemment pas vrai dans les faits, toutes les questions d'ordre public relevant notamment de la compétence exclusive des États ! En même temps, les États ont un besoin vital et immédiat de la coopération des autres parties prenantes pour arriver à quelque chose dans ces domaines.
L'accent a été mis sur la nécessité de la transparence et de la redevabilité avec, enfin, la reconnaissance du rôle et des responsabilités particulières des États : « Governments have primary, legal and political accountability for the protection of human rights ». Ceci était, pour la même raison que précédemment, extrêmement important pour nous.
L'ambition de globalisation de l'ICANN est donc collectivement validée et confirmée, avec des formulations correspondant à nos exigences. Le processus de globalisation de l'ICANN doit être accéléré, pour arriver à une organisation véritablement internationale et globale -les deux mots sont dans le texte- afin de servir l'intérêt public, avec des mécanismes de transparence et de redevabilité clairement vérifiables et faciles à mettre en oeuvre, qui rencontrent surtout les attentes des parties prenantes internes à l'ICANN et de la communauté globale. Ceci est très important, car on peut ainsi insister sur le fait que l'ICANN ne doit pas simplement rendre des comptes aux gens qui participent aux réunions, mais aussi à la communauté globale, qui ne se sent pas forcément représentée à l'ICANN, ou qui ne l'est que par les États ou les élus des utilisateurs, selon un processus qui demande à être particulièrement amélioré, plus légitime et plus représentatif.
Nous sommes à présent dans une partie beaucoup moins agréable. On est plutôt dans un creux, qui s'est révélé assez vite. Les États-Unis ont accepté le fait de s'engager dans une « désaméricanisation » formelle de l'ICANN, en demandant à celle-ci d'organiser une large consultation publique, afin d'assurer la transition de la supervision des fonctions de l'IANA en matière de racines de l'Internet -actualisation de l'annuaire des adresses, des noms et des protocoles. Ceci devait aboutir, dans un second temps, dès lors que cette phase était achevée, à l'organisation d'une deuxième consultation sur la fin de l'affirmation of commitments, cette délégation de service public mondial par le département du commerce. Cette deuxième étape est selon moi plus importante que la première. En effet, la fonction de l'IANA est technique, symbolique, mais sans enjeux politiques réels. Des accords seront trouvés assez rapidement.
Si la désaméricanisation qui est engagée constitue une bonne nouvelle, la mauvaise nouvelle réside dans le fait que le board de l'ICANN et l'ICANN en général éprouvent une plus grande envie de liberté, et se comportent d'une manière qui nous déplaît de plus en plus. Contrairement à ce que nous espérions, ils se sentent beaucoup moins redevables vis-à-vis des États et de la communauté globale. J'ai naturellement en tête les sujets du « .vin » et du « .wine », pour lesquels l'instance d'appel du board de l'ICANN a rejeté nos demandes de reconsidération des dernières résolutions adoptées, et s'apprête à prendre des décisions dont il y a tout lieu de penser qu'elles seront défavorables aux positions européennes !
J'ai toujours considéré que le « .vin » constituait un « crash test » de la volonté réelle de l'ICANN de s'émanciper et d'être redevable. Pour le moment, on voit les progrès en matière d'émancipation plus que de redevabilité. Ceci constitue un vrai problème. J'ai dit à Larry Strickling, le secrétaire adjoint au commerce en charge de ces sujets, que si le rôle exercé par l'ICANN devait demeurer inchangé, nous regretterions la situation antérieure ! Au moins, le Président de la République française connaît le Président des États-Unis ; en cas de problème, ils peuvent se téléphoner ; il existe un processus démocratique en France comme aux États-Unis ; nous échangeons des ambassadeurs depuis deux siècles, et dialoguons entre États de droit. Nous avons donc quelques garanties tant que les États-Unis sont les superviseurs de l'ICANN. Je ne suis pas sûr qu'autour de cette table, quiconque connaisse un autre membre du board de l'ICANN que son président Fadi Chehadé - mis à part peut-être les anciens membres français, ou l'actuel ! Je ne pense pas que vous connaissez Bruce Tonkin, Chris Disspain, ou les autres membres du board qui ne relèvent que du statut de l'ICANN, sur la nomination desquels aucun État au monde n'a eu son mot à dire !
Ceci est considéré de manière très positive par le Gouvernement américain, qui a la hantise de voir le processus de gouvernance de l'Internet dévolu à un Gouvernement ou à un ensemble de gouvernements. Pour nous, Français, dont la société et l'État sont régulés par l'État de droit depuis deux siècles, c'est un défi : ces personnes prennent des décisions pour la communauté de l'Internet ; depuis la création de l'ICANN, c'est une maïeutique qui lie la société civile, les entreprises, les techniciens, les gouvernements, et qui aboutit à des décisions politiques validées par le board de l'ICANN. Le mauvais côté des choses, c'est que le board prend des décisions qui impactent tous les gens qui ne sont pas dans la communauté de l'Internet, voire qui ne sont même pas connectés, et qui n'ont de ce fait pas voix au chapitre, hormis par l'intermédiaire des représentants de leur Gouvernement !
C'est un véritable problème, que nous voyons bien à propos du « .vin » : le champagne existait plusieurs siècles avant la création de l'école de droit de Harvard ! Il y a là, à notre sens, une contradiction entre les pouvoirs que s'arroge l'ICANN et sa légitimité. On l'a vu avec le « .vin », on risque de le voir avec le « .hotel ». Le ministre de l'économie va d'ailleurs porter plainte contre « booking.com » pour concurrence illégale ! On est, là encore, dans des situations où l'ICANN prend des décisions qu'elle pense techniques, alors qu'elles ont en réalité des conséquences politiques et économiques totalement hors de proportion avec la légitimité de l'ICANN !
Vous corroborez les propos du professeur Mueller, de l'université de Syracuse, à Washington, qui nous a exposé le fait que les fonctions politiques qui déterminent l'avenir de l'Internet sont difficiles à séparer des fonctions administratives de l'ICANN.
Reste en suspens -et nous l'avons bien ressenti aux États-Unis au cours de nos différents entretiens- les deux points que vous avez évoqués, la transparence et la redevabilité de l'ICANN. Avez-vous des préconisations à formuler ? Passent-elles par exemple par un changement de structure de l'ICANN ? Son directeur avait évoqué, lorsque nous l'avions reçu, une structure parallèle, à Genève. L'ICANN peut-elle se transformer en une structure du type de la Croix-Rouge, par exemple ?
Voyez-vous dans ce changement de statut la garantie d'une forme de réinitialisation ? Faut-il redéfinir la répartition des parties prenantes pour garantir certains grands équilibres ?
J'ai une mauvaise nouvelle pour vous ! Lorsque Fadi Chehadé vous a dit cela, c'était quelques semaines avant l'annonce de la transition par Larry Strickling.
À l'époque, nous avons tous été convaincus du bien-fondé de sa démarche. Il avait en effet annoncé la création de groupes de travail au sein du board de l'ICANN, afin d'imaginer une transition des statuts de l'ICANN, voire son déménagement, pour que celle-ci puisse bénéficier du statut genevois dont profitent d'autres organisations internationales non onusiennes, comme le Comité international de la Croix-Rouge, voire la FIFA et quelques autres.
Je ne sais ce qui s'est passé ensuite. Selon moi, ceci a été au coeur des discussions que Fadi Chehadé a ensuite eues avec Larry Strickling, qui ont présidé à l'annonce de la transition. À la réunion de l'ICANN, à Singapour, qui a suivi l'annonce de cette transition, on a annoncé que ces groupes n'existaient plus.
Je lui ai posé la question lors de la réunion du Comité des gouvernements. Il m'a dit que ceci restait au coeur de la réflexion sur l'ICANN, qu'il s'agissait d'un problème de méthode de travail, ces groupes étant trop « top down » et pas assez participatifs. Je suis très circonspect ! Je pense que Washington a dû insister sur le fait que, pour que ces transitions se passent bien, il fallait mettre de côté l'idée d'un déménagement et d'un changement de statut.
On peut le comprendre, en ce sens qu'à Washington et au Capitole, l'annonce de la transition a été très vivement critiquée par l'opposition républicaine, ce qui a donné lieu à l'adoption d'un amendement proposé par le représentant John Shimkus au budget du Pentagone, signal politiquement peu favorable. Ceci montre bien que le Capitole souhaite garder la main ou retarder cette évolution ! C'est un combat politique qui n'est pas si facile pour l'administration Obama, accusée de faiblesse par l'opposition républicaine.
Selon mon analyse, l'opposition républicaine a vocation à faire flèche de tout bois ; si l'administration Obama avait décidé de ne rien dire, ni ne rien faire, demeurant sous la pression à São Paulo, peut-être cette même opposition aurait-elle dit que l'administration Obama se mettait à dos le reste du monde ! Dans ces cas-là, tout est sujet à critiques -mais ce n'est pas notre propos.
Ceci montre néanmoins qu'il existe une sorte de consensus à Washington entre l'administration et le Congrès, pour que l'ICANN obtienne son émancipation, mais pas trop, l'amendement Shimkus donnant au Congrès un an pour vérifier que la nouvelle organisation fonctionne. C'est une transition qui est retardée afin que le Congrès puisse garder la main le plus longtemps possible.
Je pense qu'il ne sera plus question de déménagement avant un certain temps. On peut en discuter, mais je ne suis pas persuadé que cela se fasse à court terme. Je pense que l'ICANN va perdurer sous l'empire de la loi californienne sur les entreprises !
Ceci n'est pas bon signe, même si les choses pourraient être pires. L'État de Californie est profondément démocratique et démocrate. Néanmoins, lorsque j'étais consul général à Los Angeles, j'ai parfois été amené à apporter mon aide à des compatriotes face aux tribunaux californiens : il faut vraiment être riche et présent, ce qui ne va pas de soi ! C'est là que va se situer le coeur du problème dans notre réflexion pour essayer de présenter les propositions les meilleures lors cette phase de consultation publique en matière de recevabilité. On est obligé de raisonner à situation constante, l'ICANN restant pour un temps, sous l'empire de la loi californienne, une « non-profit corporation ». Il faut donc étudier comment sont organisés les mécanismes de redevabilité pour essayer de les améliorer.
Un certain nombre de critiques peuvent d'ores et déjà être apportées. Les mécanismes de reddition des comptes et de revue mis en place par les statuts de l'ICANN ne sont pas inacceptables, mais ce n'est pas la manière dont nous avons l'habitude de travailler.
Tout d'abord, le Comité des gouvernements n'est pas invité à ces revues périodiques ; en second lieu, nous avons déposé un certain nombre de demandes de reconsidération des décisions du board de l'ICANN. Force est de constater qu'il a dû y avoir jusqu'à présent 70 ou 80 demandes pour une seule acceptée ! On peut en tirer deux conclusions : soit le board de l'ICANN travaille merveilleusement bien et sans défaut, soit il n'a pas envie d'être redevable, ni de reconnaître ses erreurs !
En second lieu, nous avons eu la surprise de constater que l'instance d'appel est composée de sept personnes, dont six membres du board. À une exception près, on demande aux mêmes personnes de rejuger la décision qu'ils ont prise ! Il n'est pas sûr que ces personnes acceptent de reconnaître qu'elles ont mal travaillé.
L'instance d'appel suivante est l'independent review panel ; on est là totalement dans le droit anglo-saxon. On demande à un board indépendant de tout reconsidérer, mais cet exercice est payant et très cher. Les frais sont toujours aux dépens du perdant.
Étant donné leurs finances, un certain nombre d'États européens se poseront la question avant de faire un chèque de 500 000 dollars pour avoir accès à l'independent review panel ! Rien n'est donc moins sûr. Je ne parle même pas des États en développement, qui pourraient avoir envie de voir certaines décisions du board cassées, qu'il s'agisse du « .africa »ou d'autres sujets ! 5 000 dollars pour une procédure d'appel, c'est très loin de nos standards !
Par ailleurs, l'independent review panel n'est pour l'heure pas tellement rodé. Il y en a eu trois récemment, et l'ICANN n'a pas correctement travaillé, ayant été prise de cours et mise en contradiction face à ses propres règles.
En outre, la prise en compte d'un certain nombre de conflits d'intérêt doit être mieux assurée. Nous constatons qu'un certain nombre de membres du board sont, de notre point de vue, en situation de conflit d'intérêts. On ne peut être juge et partie, surtout lorsqu'on a aussi peu de légitimité : aujourd'hui, nous n'avons pas confiance !
Pouvez-vous nous donner, sans être nominatif, quelques exemples de conflits d'intérêts ?
Je ne peux de toute manière être nominatif. J'ai dit que le board de l'ICANN était censé valider un certain nombre de décisions prises par les comités de support, notamment le Generic names supporting organization (GNSO), ou le Country code naming support organization (CCNSO), qui traitent de la préparation des décisions politiques de l'ICANN. Or, le board de l'ICANN est constitué de personnes qui viennent de ces communautés. Le GNSO, par exemple, est une instance qui a vocation à représenter toutes les personnes impliquées dans le business model des noms de domaine. On retrouve donc forcément au board un certain nombre de personnes qui dirigent des sociétés, ou qui bénéficient d'investissements de sociétés qui présentent des projets jugés par le board.
Il existe aussi un vrai sujet de diversité culturelle au sein du board de l'ICANN. J'ai utilisé le terme « d'émancipation formelle » par rapport au Gouvernement américain : on est cependant dans un environnement anglo-saxon. Les membres qui ne sont pas liés au monde anglo-saxon sont très rares au sein du board.
Les États-Unis restent engagés avec VeriSign, avec qui ils ont sous-traité par contrat. On nous a dit que le contrat allait parvenir à échéance. L'évolution est-elle certaine ?
Aucunement ! J'ai été le seul à demander à Larry Strickling, lorsqu'il est venu devant le Comité des gouvernements, lors de la réunion de Singapour, si l'annonce portait également sur le contrat avec VeriSign. Il m'a répondu par la négative. Ce contrat est un autre sujet mais, celui-ci devant arriver à expiration, tout porte à croire que l'on pourra en rediscuter.
J'ai posé au représentant anglo-saxon du Comité en charge de la sécurité et de la résilience du réseau la question de savoir s'il existait, de son point de vue, d'autres entreprises disposant du savoir-faire suffisant pour accomplir la mission de VeriSign. La réponse qui m'a été faite est qu'il en existe un grand nombre ! L'Association française pour le nommage Internet en coopération (AFNIC) m'a confirmé qu'il existait un très grand nombre de sociétés capables de rendre ce service. Aujourd'hui, la référence aux treize serveurs racines constitue une vision très basique des choses ; en réalité, chacun de ces serveurs est répliqué des dizaines de fois. Chaque société qui assure la maintenance de ces serveurs effectue donc un travail identique à celui que VeriSign réalise avec la racine A. Les entreprises qui disposent de ce savoir-faire existent donc, et pas seulement aux États-Unis. Ils m'ont par ailleurs affirmé qu'il y avait peu de chances que cela change.
Je dois reconnaître que VeriSign le fait pour un dollar symbolique ; ce n'est donc pas leur business model. Leur financement provient de la gestion du « .com », ce qui est considérable !
Nous nous sommes intéressés aux autres organes techniques de gouvernance de l'Internet notamment l'Internet engineering task force (IETF) et le World wide web consortium (W3C), que vous avez évoqués. Dans quelle mesure sont-ils liés, voire subordonnés à l'ICANN ? Si l'ICANN devait être refondée, selon quels principes, pouvant être également appliqués à ces organismes, pourrait-on fonctionner ?
Je pense que chacune de ces organisations reste, quoi qu'on puisse en penser, très attachée à son mandat -même l'ICANN ! Je ne crois vraiment pas que l'ICANN ait la moindre envie de gérer l'IETF, le W3C ou l'Interactive advertising bureau (IAB).
Les relations entre l'ICANN et les organisations en charge des adresses IP sont très lâches ; les registres régionaux font leur travail en toute indépendance, et n'ont pas besoin de l'ICANN. Il existe à l'évidence une interdépendance, mais pas de suprématie ou de dépendance entre ces organisations.
Par ailleurs, l'IETF bénéficie de la tutelle de l'Internet society (ISOC), qui s'était vue conférer la charge de la gestion du « .org », ce qui est une source de revenus très conséquente, qui lui permet de vivre, d'être influente dans le débat, mais également de pourvoir à l'organisation des réunions de l'IETF. Il n'y a pas de volonté de changer de la part de l'IETF. Elle demeurera une organisation extrêmement souple et ad hoc de personnes qui se réunissent, parlent de sujets très compliqués et, au fond, assez segmentés. Des ingénieurs en télécommunications qui ont participé à certaines discussions m'ont dit ne pas avoir compris tous les sujets. Il s'agit d'un travail extrêmement technique. Je pense que ceci n'évoluera pas.
L'IETF ne doit pas fermer ses portes ; toute personne qui souhaite y participer doit pouvoir le faire. C'est le cas aujourd'hui. Cela signifie que la représentation au sein de l'IETF continuera plus ou moins à refléter l'intérêt que les entreprises attachent à y être représentées. Il y aura donc toujours une surreprésentation d'un certain nombre de grands de l'Internet américain.
Vous avez considéré le FGI comme très légitime, même s'il a du mal à accoucher de quelque conclusion que ce soit ou à avancer sur certains sujets.
Peut-on garantir une meilleure représentativité au FGI ? Faudrait-il recourir à une élection pour chaque collège -entreprises, société civile, Gouvernement ? Peut-on imaginer que la redevabilité de l'ICANN soit confiée à un FGI plus fonctionnel, avec un rapport annuel, clair, explicite et transparent, permettant la plus large communication possible ?
Le FGI se veut une instance ouverte ; en second lieu, il n'existe pas de conclusion écrite, ni agréée. Une représentativité organisée des différentes parties prenantes n'est donc pas nécessaire. Cette question se poserait si l'on devait aboutir à une instance plus forte, avec un meilleur financement ou un financement pérenne, et des décisions négociées, agréées et publiques.
Un autre point négatif du NETMundial auquel nous sommes également confrontés vient du fait que l'organisation de la représentation des différentes catégories de parties prenantes s'est révélée opaque, arbitraire et objet de manipulations. Il en irait de même pour le FGI. Nous avons vu que la surreprésentation des habitués de l'ICANN au NETMundial dans les différentes catégories de parties prenantes a été contestée. Le texte étant finalement bon, on ne peut discuter le succès ! L'organisation de la représentation a eu le mérite d'exister. On pourra certainement l'améliorer, la rendre plus transparente, mais ce sera à chaque partie prenante d'organiser son mode de désignation des représentants.
Pour en revenir au FGI, l'idée de faire de celui-ci l'instance d'appel de l'ICANN est bonne ; dans les faits, le FGI de Bali a été sauvé par Fadi Chehadé. Les autorités indonésiennes étaient impatientes, puis extrêmement réticentes à l'idée d'accueillir le FGI. Elles ont émis de très nombreuses objections à appliquer les règles de l'organisation des conférences des Nations unies sur leur propre territoire, en contradiction avec tous usages. On a également rencontré un véritable problème de financement. C'est objectivement Fadi Chehade qui, en multipliant les navettes, en allant voir les ministres indonésiens, a fait en sorte que le FGI se tienne dans de bonnes conditions à Bali.
Aujourd'hui, le rapport est plutôt contraire à celui que vous souhaiteriez voir instaurer : l'ICANN est en effet puissante, bien organisée. Ceci impliquerait donc de changer complètement le rapport de forces. L'ICANN est bien doté financièrement, fonctionne, dispose de règles que l'on peut discuter, mais qui débouchent sur des décisions ; le FGI est organisé par le Multistakeholder Advisory Group (MAG), sous l'autorité du secrétaire général des Nations unies, et compte des personnes dont on ne sait objectivement comment elles sont désignées.
Par ailleurs, le FGI est extrêmement dépendant des décisions et de l'enthousiasme du pays qui l'accueille. Je ne peux parler de celui qui se tiendra à Istanbul la première semaine de septembre. L'intérêt du FGI est peut-être de se tenir dans des endroits où les questions de gouvernance de l'Internet sont brûlantes !
Tim Berners-Lee avait évoqué l'idée d'une charte, d'une constitution ou d'une Magna Carta. Pensez-vous que ceci pourrait constituer une idée que seraient à même de partager les pays qui considèrent que l'Internet doit rester une structure partagée, ouverte, afin de formaliser le texte de São Paulo, qui reste une déclaration de bonnes intentions, sans valeur formelle ?
Que mettrait-on de plus dans la Magna Carta que ce qui figure dans la déclaration de São Paulo ? Je crois honnêtement qu'elle comporte déjà à peu près tout, excepté la question de la neutralité, qui ne peut toutefois être tranchée ainsi.
Il s'agirait donc d'en faire un traité international. C'est possible, mais il faudrait que ce texte soit le plus proche possible de la déclaration de São Paulo, qui est le fruit d'une démarche multi-parties prenantes. Je pense qu'un traité international ne se verra pas reconnu de légitimité politique ; celle-ci sera contestée par tous les représentants de la société civile en cas d'écart avec le texte adopté à São Paulo !
Il est important de le prendre en compte : pour nous, représentants des États, il est plus confortable d'avoir une discussion intergouvernementale. On ne sait pas mener une discussion multi-parties prenantes : on est là en territoire inconnu, sans position de force. L'Internet, c'est cela : la part des actifs publics dans l'Internet est de l'ordre de moins de 5 %. Tout le reste est privé. La communauté de l'Internet reconnaît de moins en moins une gouvernance intergouvernementale.
Si vous entrez dans une discussion intergouvernementale pour un traité international, sans doute aurez-vous moins de points d'accord, quelques États cherchant à tirer profit des négociations pour faire avancer un certain nombre de points. Je n'invente rien : je l'ai vécu lorsque je représentais la France à la troisième commission de l'assemblée générale des Nations unies sur les droits de l'homme, où dans toute résolution sur les droits de l'homme on trouve maintenant un à cinq paragraphes concernant les droits de l'homme sur l'Internet, qui font toujours l'objet de désaccords entre les États !
Je peux citer au moins trois États, qui se sont manifestés lors de la conclusion du NETMundial : la Russie, Cuba et l'Inde ont répété qu'ils ne se sentaient pas liés par cette déclaration finale. Lorsqu'on entend la position de Cuba, on sait que la solution inverse est plutôt a priori la bonne ! Le discours du représentant cubain était vraiment très faible, et les raisons invoquées particulièrement discutables. C'est toutefois ce que vous aurez dans des discussions sur un traité intergouvernemental.
Peut-on contester une décision d'ordre technique comme celle du board de l'ICANN consistant à créer de nouveaux noms de domaines génériques ?
Pour ce qui est de l'ICANN, c'est difficile, car les deux seules voies d'appel sont les requests for reconsideration (RFC), qui sont traitées par les mêmes personnes que celles qui ont pris les décisions initiales, et l'independent review panel, qui coûte 500 000 dollars, et qui n'est pas rodé !
Pour ce qui est des décisions des autres instances techniques, leur culture -et notamment celle de l'IETF- est qu'il n'y a au fond pas besoin de voie de recours puisque l'adoption d'une décision se fait par consensus sur la base d'un « humming ». Quand une RFC est soumise à discussion par quelqu'un, l'IETF, en assemblée plénière ou en commission, engage la discussion. Le consensus est défini comme le moment où toute objection raisonnable a été discutée et que l'approbation se manifeste à un niveau suffisamment sonore. Si le consensus n'est pas audible, la discussion est relancée. Dans ces conditions, les participants considèrent que le recours n'est pas nécessaire. Si tel devait être le cas, une autre RFC interviendrait ultérieurement pour consacrer une évolution de l'état de l'art ou de la technique. C'est pour nous une terra incognita !
De fait, la fragmentation de l'Internet est actée lorsque des pays comme la Russie, Cuba, ou l'Inde se désolidarisent du texte produit au Brésil.
Pour le reste, pensez-vous que les décisions qui ont été prises aient redonné confiance et évité une fragmentation supplémentaire ?
Oui, je pense qu'on assiste à un renouveau de la confiance, même si chacun a bien constaté le tour de passe-passe. La colère de Mme Rousseff et de quelques autres portait sur la surveillance de masse. Toutefois, on n'a parlé que de gouvernance, ce qui n'a rien à voir. La seule manière de traiter la question des programmes de surveillance de masse est de reprendre un certain nombre de discussions dans le cadre de RFC, au sein de l'IETF, pour rehausser les standards de cryptage. C'est la seule façon d'éviter que les agences américaines utilisent des « portes de service » pour entrer dans les plates-formes et se procurer les données qu'elles recherchent !
Ceci a été rendu possible par le fait qu'il existait, au sein de l'IETF, un certain nombre d'orateurs qui ont plaidé pour que les standards de cryptage soient les plus bas possible ou -pour le dire autrement- afin que ceux-ci ne soient pas un vrai sujet. Le tour de passe-passe a consisté à faire accepter l'idée qu'on allait abandonner la question de la surveillance de masse, à l'exception des bouts de textes que j'ai mentionnés, pour ne parler que de la gouvernance.
Du point de vue de la gouvernance, je pense qu'il y a eu à l'évidence un sursaut de confiance mais, de notre point de vue, la confiance se fait rare vis-à-vis de l'ICANN pour les raisons que j'ai évoquées.
Pourrait-on envisager que la France implante un serveur racine sur son sol, alors que seules les entités approuvées par l'ICANN sont autorisées à en déployer ?
Je pense que cela nous demanderait beaucoup de crédit politique, et que ce n'est pas un bon combat. C'est selon moi très technique et n'a qu'une fonction symbolique. On n'en a pas besoin. Les personnes de l'AFNIC sont capables de le faire, mais le fait qu'il n'existe pas de serveur en France n'a aucune conséquence concrète.
Merci de votre participation. C'est un sujet que nous continuerons à suivre. La présence de participants qui ont été fidèles à un certain nombre d'auditions de notre mission commune d'information démontre l'intérêt qui est porté aux travaux du Sénat !
La réunion est levée à 16 heures 20.