Les hébergeurs, complices de la surveillance ?

Publié le 06/09/2022

Cet article a d’abord été publié sur sur le blog de Deuxfleurs.

9 Février 1999 : Valentin Lacambre est condamné à verser la somme de 405 000 francs à Estelle Halliday. Cette histoire ne vous dit rien ? Pourtant, elle a marqué un tournant dans la conception juridique du rôle d’hébergeur1 en soulignant l’absurdité de le tenir complètement responsable des contenus publiés. 20 ans plus tard, le statut d’hébergeur est nouveau attaqué : il est maintenant question de le tenir responsable de surveiller, sanctionner et dénoncer ses utilisateurs. De tels projets vont à l’encontre de nos valeurs ce qui interroge sur notre action : pouvons-nous encore suivre la loi et protéger la vie privée en même temps ?

Pourquoi l’hébergeur est un intermédiaire technique

Pour comprendre, il faut repartir de Valentin Lacambre. Il gère à l’époque Altern B2,3, une association qui héberge des sites webs gratuitement pour tout le monde (un peu comme Deuxfleurs). Altern B fonctionne bien : au moment du procès, elle accueille environ 50 000 sites soit une grosse partie du web Français de l’époque.

La jurisprudence - Parmi ces 50 000 internautes hébergés, autour de 1998, une personne met en ligne des pages scannées du magazine Voici. Sur ces pages on peut voir des photos volées d’Estelle Hallyday. Son avocat attaque alors, non pas l’auteur des scannes, mais l’hébergeur Altern B, considérant que c’est l’éditeur du site. Il le tient responsable de tout contenu posté sur ses services, et donc de ces photos. La justice lui donnera raison, Altern fermera ses portes une première fois, et cette affaire créera une jurisprudence très défavorable aux hébergeurs.

La loi - Cette expérience traumatisante aboutira à une redéfinition claire des rôles de chacunes des parties en 2004 dans la Loi pour la Confiance en l’Économie Numérique (LCEN)4. En sanctuarisant le rôle de l’hébergeur comme intermédiaire technique, l’hébergeur est seulement tenu de supprimer les contenus manifestement illégaux qu’on lui signale. Le rôle d’éditeur, toujours aussi exigeant, étant alors réservé a l’internaute lui-même quand il publie sur son site.

L’hébergeur collaborateur de la surveillance de masse

En 2008, Facebook ouvre ses portes en France et vient rapidement bousculer ces classifications. En effet si Facebook, et toutes les entreprises qu’on appelle “des plateformes”, sont des hébergeurs, on ne peut pas non plus nier qu’elles réalisent un travail éditorial. S’il faut s’en convaincre : leurs algorithmes de recommendation hiérarchisent le contenu, leurs choix d’interfaces favorisent tel ou type de contenu, et leur modèle économique est directement lié au succès du contenu publié chez eux. Si de mon point de vue, il faudrait les considérer comme des hébergeurs et des éditeurs, le législateur a décidé qu’il fallait changer le cadre légal5,6.

En pratique pour nous hébergeurs indépendants, loi après loi, notre statut d’intermédiaire technique s’érode pour adapter le droit à ces plateformes. Se dessine alors un monde où la justice est déléguée aux hébergeurs privés, automatisée pour satisfaire des besoins de rapidité et de coût, et sans recours possibles pour les utilisateurs. Dans ce monde, les hébergeurs se retrouvent à être les complices de cette société de surveillance. Et si on refuse, on s’expose à de sévères amendes, cette-fois ci dans le système judiciaire traditionnel. Peu médiatisées, ces lois sont pourtant, pour bon nombre d’entre elles, déjà dans notre droit.

Censure - Repartons de la LCEN votée en 2004 : les hébergeurs doivent retirer le contenu manifestement illicite qui leur est signalé. À l’époque, on entendait par “manifestement” un ensemble très restreint de contenus (eg. néo-nazis), mais la jurisprudence a glissé au point d’englober presque tout5. Argumentant que cette disposition n’était pas respectée, et probablement aussi que les tribunaux étaient engorgés, le gouvernement Macron voulait avec son projet de loi Avia se passer totalement du système judiciaire7. Ainsi, si dans la LCEN de 2004, la “prompt” réaction de l’hébergeur est appréciée par le juge, dans le projet de loi Avia, il aurait été fixé à 1h pour le terrorisme et 24h pour la “haine en ligne”, et ce pour tout le monde, jour comme nuit. Le conseil constitutionnel censurera la loi8 mais ses dispositions sont revenues cet été 2022 à travers le droit européen et le spectre du terrorisme9. La Quadrature du Net a saisi le conseil constitutionnel10 mais l’issue est incertaine actuellement. Dans le cas où le conseil constitutionnel censurerait une nouvelle fois la loi, il est fort probable que ses promoteurs cherchent un moyen de la faire passer dans les années à venir.

Scan des données privées - Sous prétexte de protection des enfants, un projet de loi datant de mai 2022 veut obliger les hébergeurs à scanner les données de leurs utilisateurs, y compris ceux chiffrés11. Impossible vous direz-vous, si il est chiffré on ne peut rien en savoir ! C’est en effet le cas, mais le législateur s’appuie sur un document d’Apple pour justifier son obligation12. En résumé, votre terminal doit calculer “une empreinte” de votre fichier, qui elle sera envoyée (plus ou moins brouillée) à l’hébergeur qui pourra la comparer à une base de données d’empreintes de contenus interdits. Cette décision est un sévère coût au droit au chiffrement et à la vie privée, pire, il permet une opacité dans les contenus détectés : impossible de savoir pour l’hébergeur à quel contenu est relié les empreintes qu’on lui demande de détecter. Dans tous les cas, ce système d’empreinte est défectueux : un utilisateur de Google s’est vu fermer son compte car il cherchait à soigner en urgence son nourisson pendant le confinement et devait échanger des photos avec son médecin13. Les députés sont au courant et ont déjà prévu d’accepter un taux de faux positif important, possiblement de l’ordre de 10%14. Alors le sujet de la protection des enfants ne serait qu’un avatar construit de toute pièce ? Une fraction non négligeable d’enfants subissent bel et bien des violences sexuelles, mais principalement par leurs parents, leur famille et via les adultes de leur entourage, non pas par des “monstres” mais des “individus normaux” qui abusent de leurs pouvoirs15,16,17. Ce n’est donc pas une solution technologique qui résoudra ce problème mais une autocritique de ce qui ne fonctionne pas dans nos sociétés, certes beaucoup plus douloureuse qu’une loi sécuritaire.

Surveillance des activités - La LCEN n’a pas que des bons côtés : une de ses dispositions oblige les hébergeurs et fournisseurs d’accès internet à stocker les données “de connexion” de leurs utilisateurs pendant un an. En 2016, suite à une jurisprudence, la cour de justice de l’union européenne (CJUE) tranche en établissant que les états membres ne peuvent pas imposer une obligation générale de conservation des données de connexion, invalidant cette disposition de la LCEN. Mais l’État Français oppose de la résistance, et de rebondissements en rebondissements18, l’affaire n’est toujours pas tranchée ; à ce jour, les hébergeurs Français sont toujours tenus de garder ces données pendant un an19,20,21. Cette obligation de conservation des données de connexion a un impact concret sur nos vies, à l’image de l’arrestation de militants climat utilisant Protonmail22. En effet, si le contenu de leur boite email est bien chiffré, la justice a pu demander les informations de connexion liées à une certaine boite email, qu’elle a pu associer avec un état civil en récupérant l’autre partie des données auprès du fournisseur d’accès internet. In fine, cette opération semble avoir bien plus servie d’intimidation policière que d’outil pour rendre la justice, ce qui est permis par l’absence de contre mesure et de contre pouvoir dans ces dispositions du droit. Gardons à l’esprit que la collecte des données de connexion n’est pas le seul dispositif de surveillance : pour ne prendre qu’un seul exemple, les “boites noires” sont venues rejoindre cet arsenal en 201723, là aussi contre l’avis de la CJUE24. D’ailleurs cette décision poussera Altern à fermer une seconde fois25.

Quel avenir pour les hébergeurs ?

Ce corpus de loi, pris comme un tout, interroge la viabilité de notre projet. Si nous nous sommes lancés dans cette aventure associative, c’était, entre autre, pour proposer une alternative respectueuse des libertés civiles et de la vie privée.

Stop ou encore ? - Plus particulièrement, nous pensions qu’il y avait un espace libre entre ce que demandait la loi et les pratiques des GAFAMs. En effet, confier la modération à des algorithmes et des travailleurs du clic était un choix de leur part. Comme de collaborer de manière pro-active avec la police sans attendre une demande du judiciaire. Comme de scanner le contenu de tous leurs utilisateurs. Nous voulions donc échapper à tout ça en créant notre bout d’Internet. Un endroit où on pourrait réfléchir collectivement à une modération juste, digne, et transparente. Mais cette perspective s’assombrit fortement chaque année, alors quand devrions-nous nous arrêter ? Devrions-nous communiquer d’avantage, rendre visible, cette collaboration imposée ?

Partir ? - Une autre option serait de partir vers des cieux plus cléments. L’Autriche, par exemple, n’impose pas de collecte systématique des données de connexion. Une analyse systématique nous permettrait sans aucun doute de trouver un lieu plus respectueux des libertés : la France fait figure de mauvais élève au sein de l’UE… Mais une telle action nous obligerait à renier notre approche d’hébergement local à domicile. Et pourquoi pas déménager ? Mais ça voudrait perdre le contact avec nos utilisateur·ices.

Se mobiliser ? - Dans cette histoire, on est pas seul. Des associations comme La Quadrature du Net en France ou EDRi à l’échelle européenne travaillent à faire connaître les travers de ces projets de loi au grand public ainsi qu’aux parlementaires. Qui plus est, elles mobilisent des contre-pouvoirs comme le Conseil d’État ou la Court de Justice de l’Union Européenne pour faire annuler certains textes liberticides. En 2009 à Berlin, des marches nommées Freiheit statt Angst ont été organisées dans la rue avec plus de 25 000 participants et soutenues par des organisations comme le Chaos Computer Club (CCC) ou DigitalCourage. Il faut garder en tête que certains textes ne sont encore que des projets de loi, les autres sont souvent contestés sur le plan légal car souvent critiquable sur le plan constitutionnel.

En tant qu’hébergeur, nous ne sommes pas en dehors, ni même loin, du cadre législatif : de plus en plus, on nous demande directement de réaliser un travail de surveillance et censure silencieux pour le compte de l’État, sur le modèle des GAFAMs. Cette demande, en venant se heurter sur nos valeurs, nous fait réfléchir à quelle position on veut tenir et comment être transparent avec nos usager·es sur les enjeux du moment.


  1. Altern ou la double injustice par Meryem Marzouki, tribune sur Libération, le 5 mars 1999 

  2. L’histoire d’Altern B, archive Wayback Machine de altern.org 

  3. La FAQ d’Altern B, archive Wayback Machine de altern.org 

  4. Une loi pour la défense d’Altern B par Jérome Thorel, le 5 mars 1999 sur ZDnet 

  5. Intermédiaires techniques par Benjamin Bayart sur son blog Edgard le 8 octobre 2018  2

  6. La liberté de financer : Estelle est nue dans le Tipeee. par Olivier Ertzscheid sur son blog Affordance.info le 30 septembre 2021 

  7. Mahjoubi et Schiappa croient lutter contre la haine en méprisant le droit européen par La Quadrature du Net le 14 février 2019 

  8. Loi haine : le Conseil constitutionnel refuse la censure sans juge par La Quadrature du Net le 18 juin 2020 

  9. Loi du 16 août 2022 portant diverses dispositions d’adaptation au droit de l’Union européenne en matière de prévention de la diffusion de contenus à caractère terroriste en ligne le 17 août 2022 

  10. Généralisation de la censure automatisée : le Conseil constitutionnel est saisi 

  11. Fighting child sexual abuse: detection, removal and reporting of illegal content online consulté le 2 septembre 2022 

  12. CSAM Detection par Apple, août 2021 

  13. A Dad Took Photos of His Naked Toddler for the Doctor. Google Flagged Him as a Criminal par Kashmir Hill le 21 août 2022 

  14. EU-Kommission nimmt hohe Fehlerquoten bei Chatkontrolle in Kauf, par Sebastian Meineck et Markus Reuter le 29 juin 2022, notre analyse basée sur cette traduction publiée sur Reddit 

  15. Les incesteurs par Dorothée Dussy, 2021 

  16. Ou peut-être une nuit par Charlotte Pudlowski, 2020, Louie Media. 

  17. « Les parents continuent de considérer l’enfant comme leur propriété » par Tiphaine Guéret, octobre 2020, dans CQFD 

  18. Dossier conservation des données de connexion (jusqu’à 2019) par La Quadrature du Net, 2019 

  19. Le Conseil d’État valide durablement la surveillance de masse par La Quadrature du Net le 21 avril 2021 

  20. Données de connexion : recours devant le Conseil constitutionnel par La Quadrature du Net le 15 février 2022 

  21. Données de connexion, une victoire en retard 

  22. Réputé sûr, Protonmail a livré à la police des informations sur des militants climat sur Reporterre, le 7 septembre 2021 par Gaspard d’Allens 

  23. Une première « boîte noire » de la loi sur le renseignement désormais active extrait de Le Monde par La Quadrature du Net dans son dossier de presse, le 15 novembre 2017 

  24. Le Sénat autorise Darmanin à nous surveiller en violation du droit européen, par La Quadrature du Net, le 15 octobre 2020 

  25. Sur le Web, l’hébergeur Altern (re)ferme par Amaelle Guiton sur Libération le 17 avril 2015