[Mon mémoire en 3 pages] L’encadrement du Deep Web – Julien Andrieu

« Si une information ne figure pas dans les archives, alors c’est qu’elle n’existe pas[1] ».  Telle la bibliothécaire du Temple Jedi de Coruscant, qui n’arrive pas à concevoir comme le suggère naïvement Obi-Wan Kenobi que peut-être les archives sont incomplètes puisque la planète Kamino n’y figure pas, avec le temps vous aussi vous avez fini par vous convaincre que si une information est introuvable sur Google, alors c’est qu’elle n’existe tout simplement pas. Après tout, combien de fois ce moteur de recherche vous a-t-il déjà sauvé la vie, en vous faisant découvrir les arcanes du savoir (et des bonnes notes aux exposés) en deux clics et trois copier-collers ? D’ailleurs, pensez-vous, tout ce que renferme Internet n’est-il pas librement accessible au public, et consultable sur Google ?

.

Et si vous appreniez qu’ Internet n’est en réalité qu’un iceberg, dont les ¾ du volume sont submergés et hors de vue ? Impossible ? Bienvenue dans le Deep Web. Aussi incroyable que cela puisse vous paraitre, l’ensemble des pages web indexées par les moteurs de recherches classiques, comme Google, Yahoo ! ou Bing, ne représenterait selon certaines études que 5% du Web[2]. On appelle cette portion de contenus le Clear Web, le web indexable, le web de surface. Les 95% restants constituent la partie immergée de l’iceberg Internet, le Deep Web, en français web invisible ou web profond.

Pour diverses raisons techniques et informatiques, il se trouve en effet que certaines pages web ne sont pas indexables par les moteurs de recherche. Tout bêtement, un compte mail n’est pas indexable par Google et compagnie, puisque pour s’y rendre il faut dans un portail d’identification rentrer son identifiant et son mot de passe, chose impossible pour les robots des moteurs de recherche. Tous ces contenus se situent donc dans le Deep Web.

Parmi ces pages, il en existe d’autres encore qui ont délibérément été cachées à leurs yeux : pour y accéder, il est nécessaire d’utiliser un logiciel, une configuration ou une autorisation spécifique[3]. On entre ici dans le Dark Web, aussi appelé Darknet.

.

Internet, ou plus exactement le Web qui constitue l’un de ses principaux usages, est donc loin d’être aussi monolithique qu’on le pense. Face à cette complexité, une interrogation vient à l’esprit : comment le Législateur a-t-il appréhendé cette subdivision ? L’a-t-il complètement délaissée, créant ainsi (Ô horreur, Ô abomination) un vide juridique entre le Clear et le Deep Web ? Ou au contraire sa conception d’Internet est-elle suffisamment englobante pour qu’au final cette distinction n’en soit pas tellement une au sens du droit ?

De même, on évoque souvent la question des droits et libertés sur Internet. Dans quelle mesure les avancées en la matière sont-elles transposables en ce qui concerne le Deep Web ? Si le Législateur cherche à appréhender cet espace, alors ces droits et libertés ne vont-ils pas se dresser en obstacle pour lui ?

.

Le Deep Web est-il appréhendé par le droit ? Jusqu’à quel point est-il envisageable d’encadrer cet espace sans que cela ne rentre en conflit avec l’exercice des droits et libertés sur Internet ?

  

I – L’encadrement certain du Deep Web par le droit

Il est vrai que le Législateur, lorsqu’il a cherché à se saisir juridiquement d’Internet, avait principalement en tête une nouvelle forme de diffusion à grande échelle de divers contenus potentiellement protégés par la loi, avec au premier titre les éléments de propriété intellectuelle[4]. En réalité, il a vu Internet comme comprenant exclusivement le Clear Web.

Mais pour autant, l’absence de précisions par le Législateur n’empêche pas le droit de s’appliquer. Si l’on suit la logique du principe de neutralité technologique, selon lequel la loi s’applique dans ses principes comme dans ses effets quelle que soit la technologie utilisée[5], ce n’est pas parce qu’il existe une différence de structure, d’architecture, entre Clear et Deep Web (l’absence d’indexation des contenus) que les règles qui s’appliquent à l’un ne s’appliquent pas pour autant à l’autre.

Toutefois, c’est une chose de dire qu’en principe les mêmes règles s’appliquent sur l’ensemble du Web. Mais c’en est une autre de prendre en compte les faits de l’espèce. En particulier lorsqu’il s’agit du Deep Web, la réalité technique des choses peut amener à poser certaines nuances, notamment lorsque l’on cherche à engager la responsabilité des acteurs d’Internet.

.

En ce qui concerne d’abord les intermédiaires techniques, la question se pose surtout concernant les fameux FAI, fournisseurs d’accès à internet dont l’activité est « d’offrir un accès à des services de communication au public[6] ». On pourrait se demander si, du fait de son caractère peu accessible voire même privé, un contenu du Deep Web pourrait être considéré comme étant véritablement « communiqué au public », ou si l’on n’est pas plutôt face à une correspondance privée. On pourrait raisonnablement arguer que les contenus du Deep Web sont en réalité « mis à disposition d’une catégorie de public » : tous ceux ayant accès à la ressource en question. En effet, plusieurs personnes, sans pour autant qu’elles ne soient nommément désignées ou autorisées, peuvent détenir les identifiants et mots de passe de portails d’authentification, se voir communiquer l’adresse URL d’une page web non indexée qui sont autant de contenus du Deep Web. En réalité, les courriers électroniques sont selon nous les seuls contenus du Deep Web pouvant être vus comme une correspondance privée, puisqu’ils sont bien « exclusivement destinés à une ou plusieurs personnes, physiques ou morales, déterminées et individualisées », ce qui est la définition de la correspondance privée selon la jurisprudence[7].

Concernant ensuite les éditeurs de service de communication au public en ligne, ils sont responsables civilement et pénalement des contenus qu’ils choisissent de mettre à la disposition du public[8]. La question qui se pose est la suivante : un contenu hébergé dans le Deep Web, et donc par nature accessible par certaines personnes seulement, peut-il être considéré comme ayant été « mis à la disposition du public » ?

En ce qui concerne le droit d’auteur, la Cour de Justice de l’Union Européenne a déjà établi que pour qu’un acte de communication au public soit caractérisé, il suffit qu’une œuvre soit mise à la disposition d’un public de telle sorte que les personnes qui le composent puissent y avoir accès, sans qu’il soit déterminant qu’elles utilisent ou non cette possibilité[9]. On voit bien que ce cas de figure est applicable à un contenu se trouvant sur le Deep Web : les personnes s’étant vues fournir le lien cliquable pour accéder au contenu constituent bel et bien un public déterminé (ceux ayant accès à la ressource), et donc on peut considérer qu’il y a « mise à disposition » de l’œuvre, via la simple communication du moyen permettant d’y accéder (le lien cliquable).

Concernant enfin les moteurs de recherche, dans l’arrêt Google Spain du 13 mai 2014 consacrant le droit à l’oubli, la Cour de Justice de l’Union européenne a considéré que Google Search référençait des données personnelles, et devait être responsable de ce traitement. C’est donc à lui de procéder à son déréférencement. Cependant, ce déréférencement consiste uniquement en la suppression du résultat de la recherche litigieuse, mais il ne signifie pas l’effacement de l’information sur le site internet source.

Si l’on raisonne par analogie avec le mode de fonctionnement du Deep Web, on constate que si un moteur de recherche ne peut pas être tenu pour responsable d’un contenu qu’il a bien déréférencé mais qui reste toujours accessible sur le Clear Web par une autre recherche, alors a fortiori il ne saurait non plus être tenu pour responsable d’un contenu se trouvant dans le Deep Web.

.

L’autre facette du Deep Web qu’est le Dark Web, quant à lui, voit les différents éléments qui le constituent, et qui font sa spécificité, encadrés par le droit. Mais cette appréhension par le droit ne suffit pas à elle seule pour mener la lutte contre les contenus parfois hautement illicites que l’on trouve sur cet espace : le Législateur a ainsi adopté une approche répressive adaptée aux spécificités du Dark Web.

Souvent décrit par les médias comme une sorte de « marché noir » de l’Internet où l’on peut anonymement acheter de la drogue ou des fausses cartes d’identité, louer les services d’un tueur à gage ou encore accéder à du contenu pédopornographique, le Dark Web a du mal à se débarrasser d’une réputation sulfureuse qui lui colle à la peau. Pourtant, c’est également sur cet espace où l’anonymat et le recours au chiffrement des communications est la norme que Julien Assange a choisi d’héberger le célèbre Wikileaks, ou que les contestataires et dissidents des régimes autoritaires tels que la Chine, le Tibet[10] ou les Etats ayant vécu le Printemps Arabe se sont battus – et se battent toujours –  contre la censure de l’information et d’Internet par le pouvoir en place. Comme tout ce qui touche à Internet, le Dark Web n’est donc, fondamentalement, qu’un outil, et c’est son usage en soi qui est bénéfique ou maléfique.

.

Le premier élément caractéristique du Dark Web est qu’il repose sur une architecture décentralisée de type pair à pair (peer to peer ou P2P)[11]. Cette diversité de réseau n’est pas en soi un écueil à l’application de la loi ; comme le relève encore Olivier de Maison- Rouge, « la loi […] ne fait aucune distinction entre Internet de surface et réseaux virtuels privés », car « ces réseaux virtuels privés, même s’ils ne sont pas indexés par des moteurs de recherche  grand  public,  juridiquement  ils  restent  des  réseaux  communiquant  avec  des Systèmes automatisés de traitement de données (ou STAD) », autrement dit des systèmes informatiques.

Le simple fait de créer un réseau P2P ne crée par un darknet pour autant : il faut en plus que ce réseau ait recours à la cryptographie pour anonymiser son contenu et ses connexions, tel que le logiciel TOR, The Onion Router. En soi, l’usage d’un tel logiciel d’anonymat n’a rien de répréhensible : en effet, comme l’énonce l’article 30-I de la loi LCEN, « L’utilisation des moyens de cryptologie est libre ». En revanche, en vertu de l’article 434-15-2 du code pénal, le particulier ou l’éditeur d’une solution de communication chiffrée possédant la clé de déchiffrement d’une communication chiffrée « susceptible d’avoir été utilisé pour préparer, faciliter ou commettre un crime ou un délit » est tenu d’une obligation de coopération avec les autorités judiciaires pour déchiffrer un message ou une communication sur requête de ces dernières[12].

On voit donc ici aussi que le Dark Web n’est pas du tout terra incognita pour le droit ; en revanche, confronté aux difficultés qu’il éprouve face à sa construction en réseaux décentralisés et anonymes, le Législateur, dans un but d’efficacité, a adapté son approche pénale de cet espace.

La lutte contre les contenus et comportements illicites s’est ainsi déportée sur la traque des individus et du contenu illicite plutôt que sur le réseau lui-même. On a ainsi pu voir fleurir de « nouveaux  outils  procéduraux  adaptés  au  numérique[13] » que sont l’enquête sous pseudonyme, qui permet aux forces de l’ordre d’échanger des messages sous pseudonyme avec le suspect ainsi que d’acquérir des contenus illicites, la captation de données à distance qui consiste ni plus ni moins en l’introduction d’un cheval de Troie dans le système informatique du suspect, et la procédure du coup d’achat qui permet aux agents de douane de procéder à l’achat de stupéfiants, tabacs et contrefaçons afin de démanteler des filières.

On voit donc bien que le Législateur a fait preuve d’adaptabilité, et a su tirer profit de l’environnement du Dark Web pour développer des mécanismes propres à tirer profit de cet espace unique en son genre.

. 

II – Les limites à l’encadrement du Deep Web : des enjeux dans la régulation propre à Internet même

Puisque le Web immergé est régulé par le droit de la même façon que le Web de surface, il parait donc logique d’appliquer les mêmes limites à cette régulation du Deep Web que celles déjà posées pour le Clear Web.

Selon le Conseil constitutionnel, le droit d’accès à Internet est un droit fondamental, en ce qu’il permet la réalisation de la liberté d’expression et de communication[14]. La Cour Européenne des Droits de l’Homme raisonne de la même façon, en considérant que « Internet est aujourd’hui devenu l’un des principaux moyens d’exercice par les individus de leur droit à la liberté d’expression et d’information[15] ». Cela fournit donc une protection non négligeable à un contenu se trouvant sur le Deep Web, et contre lequel le Législateur ou la justice voudrait agir. Mais cette protection n’est pas absolue, car la mise en balance entre la liberté d’expression et d’information et les impératifs de sécurité publique et d’ordre public peut justifier des mesures portant atteinte à cette liberté, tant que ces atteintes sont « nécessaires, adaptées et proportionnées à l’objectif poursuivi[16]». De même, selon la CEDH, des ingérences vis-à-vis de cette liberté peuvent être justifiées, à condition qu’elles respectent les exigences de la Convention EDH, qu’elles soient prévues par la loi, poursuivent un objectif légitime et qu’elles soient déterminées[17].

Les ingérences aux libertés peuvent être réelles : Concernant plus spécifiquement le Dark Web, l’objectif d’ordre public de lutte contre la pédopornographie est à même ici également de justifier des mesures adaptées telles que la collecte de l’adresse IP, qui risquent elles aussi de mettre à mal le principe de liberté des communications ainsi que le respect des données personnelles.

.

On a déjà évoqué plus haut la problématique du droit à l’oubli. Le Deep Web peut selon nous présenter un certain intérêt sur ce point ; s’il était possible de pousser le déréférencement jusqu’au point où plus aucune requête dans le moteur de recherche ne permettait d’aboutir au résultat que l’internaute veut voir disparaitre, alors de facto cela constituerait une absence d’indexation, et de facto le résultat sensible se retrouverait dans le Deep Web, puisque plus aucun lien n’y renverrait. Le plus important pour l’internaute est que plus personne ne puisse accéder au contenu au détour d’un clic. Or la bascule de ce contenu dans le web invisible serait ce qui se rapproche le plus de cet objectif ; si peu de personnes ont potentiellement accès à une ressource du Deep Web que le résultat serait presque identique à un retrait pur et simple du contenu d’Internet.

Mais parler de la régulation en ce qui concerne Internet sous-entend qu’elle se fait exclusivement de l’extérieur, à l’initiative du Législateur et des forces de l’ordre ; raisonner ainsi, c’est sous-estimer la force et le poids des internautes, et tout particulièrement en ce qui concerne les contenus du Dark Web. Comme le relève le sociologue Dominique Cardon[18], malgré la philosophie de liberté et de partage qui irrigue Internet, on peut constater la présence d’une « réelle autorégulation de la parole et des propos » sur Internet, laquelle « ne va pas valoriser des discours où les faits seraient absolument faux, conspirationnistes, racistes, dangereux, etc. ». Selon un consensus global des internautes, certains contenus n’ont tout simplement pas leur place sur Internet. Le collectif Anonymous a ainsi lancé plusieurs opérations de lutte contre du contenu pédopornographique accessible sur le Dark Web, qui ont à chaque fois conduit à l’identification de pédophiles, mais surtout à la divulgation au public de pseudonymes, mots de passes ou courriels permettant de les identifier.

.

Quand on connait les difficultés que rencontrent les enquêteurs concernant l’identification des délinquants en ligne sur le Dark Web, on ne peut s’empêcher de se demander s’il ne serait pas dans leur intérêt de pouvoir tirer profit un minimum de cette masse de données potentiellement intéressante. Mais le risque de dommages collatéraux est grand : les internautes outrés risquent de se livrer à un véritable lynchage numérique des pédophiles ainsi débusqués. De plus, relève le journaliste Guillaume Champeau[19], se sentant menacés les pédophiles vont peut-être eux-mêmes effacer leurs traces et brouiller les pistes, ce qui peut réduire à néant des mois ou des années d’enquêtes et d’infiltrations policières.

Toutefois, ainsi que le formule Yves Charpenel[20], « A l’évidence, l’Etat de droit a des contraintes que n’ont pas les vendeurs et les acheteurs qui prospèrent sur le Darknet ». Le phénomène d’auto-gouvernance dont Internet fait preuve peut potentiellement être une source d’inspiration pour le Législateur : à lui de se l’approprier, dans les limites bien entendues de l’Etat de droit.

.

Conclusion

« Le Deep Web est-il appréhendé par le droit ? » Oui, sans l’ombre d’un doute. Toutes les règles que le Législateur avait déjà prévu concernant le Clear Web sont loin d’être inadaptées, et couvrent en réalité les différentes facettes du réseau Web.

Bien avant de se pencher sur l’existence du Dark Web, le Législateur avait déjà posé des règles concernant son caractère anonyme et décentralisé. Il a également élaboré des stratégies susceptibles de tirer au mieux partie de son architecture atypique dans la lutte contre les contenus illicites.

Puisque Internet et le Web sont difficilement dissociables, les problématiques de droits et libertés sur Internet s’appliquent également au Web et donc au Deep Web ; autant d’éléments que le Législateur doit prendre en compte dans sa volonté de réguler des contenus.

Pour le Législateur, faire preuve d’un peu plus d’ouverture ne pourra que faciliter la poursuite de sa mission de régulation d’Internet et du Deep Web, mission qui, rappelons-le, est globalement justifiée et nécessaire. En ce sens, l’autorégulation peut être une piste. Attention toutefois à l’explorer avec prudence.

Julien Andrieu

1ère année Master IP/IT


Sources :

[1] George Lucas, Star Wars, Episode II, L’attaque des Clones.

[2] Adrien Petit, Visite guidée du Darkweb cybercriminel, Dalloz IP/IT février 2017 p.86.

[3] Ibid.

[4] Vincent Fauchoux et Pierre Deprez, Le droit de l’Internet, lois, contrats et usages, Litec 2009.

[5] Agnès Robin, Internet – Neutralité du Net : vers une consécration européenne du principe ? Communication Commerce Electronique n°6, Juin 2015, étude 12.

[6] Article 6-I-1 de la loi pour la confiance dans l’économie numérique du 21 juin 2004.

[7] Tribunal d’instance de Puteaux, 28 septembre 1999.

[8] Arrêt de la Cour d’appel de Paris, Pôle 5, du 28 octobre 2011 n° 10/13084.

[9] CJUE, SGAE , 7 décembre 2006, , C-306/05.

[10] Olivier de Maison Rouge, Darkweb : plongée en eaux troubles, Dalloz IP/IT février 2017 p.74.

[11] MANSFIELD -DEVINE , S. (2009). Darknets. Computer Fraud & Security, 9(12):4–7.

[12] Julien Lausson, En prison pour un disque dur chiffré aux USA : quelle est la loi en France ? Numérama.com, 21 mars 2017.

[13] Précité, Myriam Quéméner, Enquêtes dans le Darkweb, Dalloz IP/IT février 2017 p.83.

[14] Conseil constitutionnel, décision n°2009-580 DC, 10 juin 2009.

[15] CEDH, Ahmet Yıldırım c. Turquie, 18 décembre 2012, 3111/10.

[16] Décision n° 2016-611 QPC du 10 février 2017.

[17] Sandrine Turgis, Le “Guide des droits de l’homme pour les utilisateurs d’Internet“ du Comité des ministres

du Conseil de l’Europe : vademecum du droit européen de l’Internet, Petite affiches – 29/08/2014 – n°173.

[18] Dominique Cardon et Maire-Carmen Smyrnelis, La démocratie Internet, entretien avec Dominique Cardon, Cairn.info revue tranversalités 2012/3 n°123 pages 65 à 73.

[19] Guillaume Champeau, Faut-il se féliciter que des Anonymous traquent les pédophiles ? Numérama.com 20 octobre 2011.

[20] Yves Charpenel, Le Darkweb, un objet juridique parfaitement identifié, Dalloz IP/IT février 2017, p.71.

MasterIPIT