N° 2891 ___ ASSEMBLÉE NATIONALE CONSTITUTION DU 4 OCTOBRE 1958 DouziÈme législature __________________________________ Enregistré à la Présidence de l'Assemblée nationale Le 23 février 2006		N° 219 ___ SÉNAT Session ordinaire de 2005 - 2006 ________________________________ Annexe au procès-verbal de la séance du 23 février 2006

OFFICE PARLEMENTAIRE D'ÉVALUATION

DES CHOIX SCIENTIFIQUES ET TECHNOLOGIQUES

________________________

COMPTE RENDU DE L'AUDITION PUBLIQUE

du 8 décembre 2005

sur

La gouvernance mondiale de l'Internet

_________ Déposé sur le Bureau de l'Assemblée nationale par M. Claude BIRRAUX, Premier Vice-Président de l'Office		_________ Déposé sur le Bureau du Sénat par M. Henri REVOL, Président de l'Office

_______________________________________________________________________

Composition de l'Office parlementaire d'évaluation

des choix scientifiques et technologiques

Président

M. Henri REVOL

Premier Vice-Président

M. Claude BIRRAUX

Vice-Présidents

M. Claude GATIGNOL, député M. Jean-Claude ÉTIENNE, sénateur

M. Pierre LASBORDES, député M. Pierre LAFFITTE, sénateur

M. Jean-Yves LE DÉAUT, député M. Claude SAUNIER, sénateur

Députés	Sénateurs
M. Jean BARDET M. Christian BATAILLE M. Claude BIRRAUX M. Jean-Pierre BRARD M. Christian CABAL M. Alain CLAEYS M. Pierre COHEN M. Francis DELATTRE M. Jean-Marie DEMANGE M. Jean DIONIS DU SÉJOUR M. Jean-Pierre DOOR M. Pierre-Louis FAGNIEZ M. Claude GATIGNOL M. Louis GUÉDON M. Christian KERT M. Pierre LASBORDES M. Jean-Yves LE DÉAUT M. Pierre-André PÉRISSOL	M. Philippe ARNAUD M. Paul BLANC Mme Marie-Christine BLANDIN Mme Brigitte BOUT M. François-Noël BUFFET M. Roland COURTEAU M. Jean-Claude ÉTIENNE M. Christian GAUDIN M. Pierre LAFFITTE M. Serge LAGAUCHE M. Jean-François LE GRAND Mme Catherine PROCACCIA M. Daniel RAOUL M. Ivan RENAR M. Henri REVOL M. Claude SAUNIER M. Bruno SIDO M. Alain VASSELLE

Office parlementaire d'évaluation des choix

scientifiques et technologiques

(OPECST)

______________

« La gouvernance mondiale de l'Internet »

_____________

Compte rendu de l'audition publique du

Jeudi 8 décembre 2005

Assemblée nationale - salle Lamartine

La gouvernance de l'internet

Présidence de

M. Claude BIRRAUX, Député de Haute-Savoie,
Premier Vice-Président de l'Office parlementaire d'évaluation des choix scientifiques et technologiques
et
M. Jean-Yves LE DÉAUT, Député de Meurthe-et-Moselle,
Vice-Président de l'Office parlementaire d'évaluation des choix scientifiques et technologiques

Ouverture par
M. Claude BIRRAUX et
M. Jean-Yves LE DÉAUT
Députés

Ouverture par M. Claude BIRRAUX, Député de Haute-Savoie,
Premier Vice-Président de l'Office parlementaire d'évaluation des choix scientifiques et technologiques

M. Claude BIRRAUX, Président : J'ai le plaisir de vous accueillir aujourd'hui au nom de l'Office parlementaire des choix scientifiques et technologiques, dont je suis le premier vice-président.

L'Office, institution commune à l'Assemblée nationale et au Sénat, est composé à parité de 18 sénateurs et de 18 députés, désignés à la proportionnelle des groupes politiques. Il a été créé voici plus de vingt ans pour donner au Parlement les moyens d'une expertise indépendante et pour éclairer en amont les décisions appelées à intervenir dans les domaines des sciences et techniques. Il publie des rapports, élaborés avec des méthodes de travail innovantes. Surtout, à la différence d'autres organismes dits « parlementaires », il l'est totalement : c'est lui seul qui prend en charge les rapports, conduit les auditions et endosse la responsabilité politique de ses préconisations.

En dehors de ces rapports, qui nous sont commandés par les Bureaux des Assemblées, par les commissions permanentes et par les groupes politiques, et qui nous demandent entre huit et dix-huit mois de travail, nous avons commencé il y a quelques années à organiser des auditions sur des sujets d'actualité comme la vache folle ou la légionellose.

Je vous remercie donc d'être venus débattre aujourd'hui des enjeux de la « gouvernance mondiale de l'Internet ». Après le sommet mondial, nous avons ainsi notre petit sommet à nous, qui nous permettra de faire le point

Je ne m'attarderai pas sur la difficulté de donner un contenu précis à ces mots. Ils recouvrent au moins trois idées essentielles qui méritaient d'être approfondies.

Tout d'abord, bien entendu, la dimension planétaire du réseau des réseaux, qui traverse les frontières des États et relie les continents, mais dont l'extension reste encore déséquilibrée et dont l'utilisation croissante est de plus en plus diversifiée, pose la question de l'adaptation de ses capacités à la demande.

Ensuite, la nécessité d'une régulation qui tienne compte de cette dimension planétaire et dont l'objet est lui-même multidimensionnel, à la fois technique, économique, culturel, éthique et politique, alors que les intérêts, les priorités et les valeurs demeurent encore largement divergents.

Enfin, le besoin d'associer « toutes les parties prenantes », États, communauté scientifique et technique, entreprises et utilisateurs à cette régulation, ou du moins à une réflexion prospective.

A ce titre, le thème de la gouvernance mondiale de l'Internet reprend des problématiques examinées déjà à l'échelle nationale, mais aussi européenne.

Cette audition se situe dans le prolongement des précédents travaux de l'Office, qui, dès l'émergence des nouvelles technologies de l'information et de la communication, a engagé plusieurs études pour essayer d'en mesurer les conséquences et a proposé diverses orientations au plan national. A la lecture de ces rapports et du compte rendu de la journée d'étude organisée en 1997 au Sénat à l'initiative de M. Pierre Laffitte, et destinée à donner la parole aux parlementaires en associant à leurs réflexions des industriels et des opérateurs, on mesure le chemin parcouru dans l'évolution des techniques, leur déploiement, leur diffusion dans la société, et aussi au plan législatif.

Mais la vision retenue voici déjà une décennie restait, il faut le reconnaître, très hexagonale ; il faut dire que le « retard » de la France constituait alors une préoccupation importante et qu'il le demeure encore largement.

C'est une démarche analogue qui a guidé l'Office pour l'audition d'aujourd'hui : informer le Parlement des débats en cours relatifs à la gouvernance mondiale de l'Internet, l'y impliquer, et donner la parole à divers acteurs français.

L'organisation de la deuxième phase du sommet mondial de la société de l'information, qui a eu lieu à Tunis en novembre dernier, en a fourni l'occasion, puisqu'en son sein, un groupe de travail a été constitué précisément sur ce thème. La variété des questions posées dans ce cadre a constitué la trame sur laquelle cette audition a été organisée.

Force est pourtant de constater - mais les intervenants me démentiront peut-être - que les débats du Sommet mondial, en tout cas tels qu'ils ont été relatés par la presse française -même si elle s'est plutôt concentrée sur le président Ben Ali que sur les résultats du sommet -, se sont focalisés sur l'ICANN (Internet Corporation for Assigned Names and Numbers) et le mode de gestion du DNS (Domain Name System).

Cela a permis de mettre à jour une problématique encore inconnue du grand public, de montrer, de façon un peu paradoxale dans la mesure où l'on pensait que l'Internet était difficilement « gouvernable », que le système restait techniquement très centralisé, voire verrouillé par un seul État.

Cependant, ces débats ont, à mon sens, donné une vision appauvrie des enjeux sociétaux, économiques, technologiques et politiques du thème choisi et des débats qu'ils suscitent.

La réduction de la fracture numérique, la diversité culturelle, la liberté d'expression, le développement de l'économie numérique, la nécessité de préserver le caractère universel d'Internet, mais aussi la protection des mineurs, la lutte contre le racisme, contre la criminalité, le terrorisme, le piratage dans le cyberespace, la sécurité des transactions, ou la protection des données personnelles constituent des sujets au moins aussi intéressants.

D'autant plus intéressants pour nous qu'ils ont fait, pour la plupart, l'objet d'un examen par le Parlement français et que les options que celui-ci a retenues méritaient d'être promues ou à tout le moins présentées à une plus grande échelle.

L'audition de ce jour devrait donc sur ce point permettre d'y voir un peu plus clair, et ce n'est pas le moindre de ses avantages.

Par ailleurs, si les questions liées à l'utilisation de l'Internet et aux contenus ne peuvent à mon sens être évacuées, celles relatives à la gestion technique de l'Internet ne me paraissent pas non plus se résumer au DNS.

L'adressage et les protocoles Internet constituent des enjeux technologiques aussi importants : comment éviter l'épuisement des adresses IP, comment parvenir à une gestion plus équilibrée, comment faciliter l'acheminement du trafic, comment garantir l'interopérabilité universelle ?

La gouvernance mondiale de l'Internet soulève encore toute une série d'autres questions liées à la libéralisation de l'économie, aux marchés, à la concurrence.

L'audition d'aujourd'hui ne permettra pas de toutes les aborder, mais au moins présentera-t-elle l'intérêt de prendre conscience de leur diversité, de la difficulté de concilier des objectifs parfois contradictoires et donc de faire des choix.

Elle permettra finalement peut-être d'identifier plus clairement les lieux et les procédures les plus adaptés pour en décider.

M. Jean-Yves LE DÉAUT, Député de Meurthe-et-Moselle,
Vice-Président de l'Office parlementaire d'évaluation des choix scientifiques et technologiques

Au Parlement comme dans l'ensemble de la population, les débats sur la société mondiale de l'information sont longtemps restés confidentiels. Il n'empêche que l'Internet a envahi une partie des vies du milliard d'habitants de cette planète aujourd'hui concernés, et que les questions relatives à ce sujet vont véritablement exploser dans les prochaines années.

En effet, c'est un secteur qui souffre à l'évidence d'un déficit de lois fondatrices. Or, à chaque fois que de telles lois ont fait défaut, comme pour le nucléaire ou les biotechnologies, nous avons été confrontés à de grandes difficultés. Il en sera donc de même pour la société de l'information.

De telles réunions sont fort utiles, même au niveau national, pour que le Parlement se saisisse de ces questions et pour qu'on puisse ensuite adopter ces lois fondatrices.

Aujourd'hui, on a un peu « soulevé le capot de la voiture » pour regarder comment tout cela fonctionnait. Ce fantastique outil de communication qu'est l'Internet est apprécié de façon différente : la personne qui nous a servi le café me disait tout à l'heure que la société de l'information allait tuer les relations humaines...

Si le réseau est unifié sur la planète, c'est parce qu'un certain nombre d'ingénieurs ont mis au point des normes communes et parce que des instances se sont peu à peu mises en place. Avec l'ICANN, société américaine à but non lucratif qui gère les noms de domaine et qui donne les adresses, l'Internet society et le W3C (World Wide Web Consortium), une organisation sous contrôle américain s'est constituée petit à petit sans qu'il y ait véritablement de coopération entre les pays. Le phénomène est analogue avec les routeurs, les navigateurs, les moteurs de recherche, les systèmes de téléphonie par l'Internet. Faut-il rester dans ce système ou le faire évoluer ? Telle était la question posée à Genève en 2003 comme à Tunis. Est-il encore possible de coordonner tout cela au niveau international comme le font l'OMC pour le commerce, la FAO pour l'alimentation, l'OMS pour la santé et l'UNESCO pour la culture ?

La lutte contre la fracture numérique mondiale est un autre sujet important. Si, comme je l'ai dit, un milliard d'êtres humains ont accès à Internet, la plus grande partie du monde n'est pas concernée - 98 % seulement de la population en Afrique. Nous devons donc nous préoccuper fortement des transferts de technologie vers les pays en développement.

Il me semble que nous devrons aussi aborder un certain nombre de sujets techniques, économiques et éthiques : administration des fichiers du système de la zone racine ; attribution des noms de domaine générique de premier niveau ; attribution des adresses IP ; frais d'interconnexion, notamment pour les pays éloignés des dorsales du réseau mondial ; participation à l'élaboration de la politique mondiale ; renforcement des capacités des pays en développement ; droits de propriété intellectuelle ; pollupostage ; stabilité et sécurité de l'Internet et cyberdélinquance ; multilinguisme ; filtrage et censure, un certain nombre de pays ayant été montrés du doigt à ce sujet lors du sommet de Tunis ; protection de la vie privée et des libertés individuelles ; droits du consommateur.

Tout cela a évolué très vite. Je me souviens d'un sommet de parlementaires qui suivaient les questions scientifiques et techniques, organisé en 1990 par un sénateur du Tennessee, Al Gore, qui est devenu vice-président des États-Unis, qui a été le premier à poser la question sur un plan politique, et qui a été l'inspirateur de la politique du président Clinton en la matière. Il nous disait déjà que le réseau allait se développer et nous ne comprenions pas bien ce qu'il voulait nous dire. Eh bien, il a eu raison, puisqu'il y a eu ce formidable développement, qui va continuer. Je ne peux donc que me réjouir que cette audition permette d'enrichir au niveau national un débat qui est loin d'être clos en Europe et dans le monde.

Table ronde n° 1 : Autorités publiques, sous la présidence de M. Pierre COHEN, Député de Haute-Garonne, membre de l'OPECST

M. Pierre COHEN, Président : Jean-Yves Le Déaut a déjà largement indiqué les thèmes sur lesquels vous allez intervenir aujourd'hui et je vais donc immédiatement donner la parole aux représentants des autorités publiques, avant que nous en venions aux aspects scientifiques et techniques. Je vous informe que Mme Isabelle Falque-Pierrotin, retardée, interviendra lors de la deuxième table ronde de la matinée.

M. Raymond COINTE, Secrétaire général adjoint du Secrétariat Général des Affaires Européennes (SGAE) : Le secrétariat général des affaires européennes est la nouvelle dénomination de l'ancien SGCI, Secrétariat général du Comité interministériel pour les questions de coopération économique européenne.

Je me réjouis que vous m'ayez invité car il convient toujours, quand on est confronté aux questions de gouvernance mondiale, de s'interroger aussi sur le rôle de l'Europe, l'approche européenne étant sans doute celle qui permettra le plus facilement de réguler et de trouver des solutions.

On peut légitimement se demander si l'Europe peut intervenir lorsque cela n'est pas fait au niveau mondial ou national. Mais on a bien vu, par exemple en matière de sécurité maritime, après les catastrophes de l'Erika et du Prestige, qu'il était possible d'agir sans attendre le niveau européen.

Autres questions : que peut faire l'Union européenne en tant que telle dans les négociations mondiales ? Quel est l'intérêt de coordonner les positions des 25 ?

Différents exemples le montrent. Ainsi, s'étant posé la question de l'effet de serre depuis les années 1980, la France a rapidement fait le choix de l'approche communautaire, et elle est pour partie à l'origine de la convention cadre des Nations unies sur les changements climatiques qui a conduit à l'adoption du Protocole de Kyoto. De même, avant d'en arriver à la Convention sur la protection et la promotion de la diversité des expressions culturelles de l'UNESCO, de fortes divergences se sont manifestées entre les pays très allants, comme le nôtre, et d'autres. Dans ce cas également, le parti a été pris de se coordonner d'abord à 25. Il convenait donc de convaincre nos partenaires avant d'aborder l'étape de l'UNESCO. Ce choix était le bon et si cette coordination n'avait pas eu lieu, la Convention n'aurait pas abouti.

On pouvait donc se demander quoi faire au niveau communautaire à propos de l'Internet. Je tiens à votre disposition le bilan de l'acquis communautaire à ce sujet, et vous savez que s'est ouvert hier le registre «.eu » qui marque de manière symbolique l'arrivée de l'Europe sur la scène des noms de domaines. C'est que, depuis la fin des années 1990 et la création de I'ICANN, l'Union européenne a fait le choix de la coordination communautaire. A la Commission, elle est confiée au commissaire chargé de la société de l'information et des médias et, au niveau des ministres, au Conseil « télécommunications ». Nous avons tenu à ce que la question ne soit pas traitée seulement par des experts mais aussi au niveau politique, et nous sommes intervenus en ce sens.

Pour ce qui est du Sommet mondial sur la société de l'information, nous avons défendu à Tunis, comme auparavant à Genève, l'internationalisation de la gouvernance de l'Internet. Les résultats du Sommet de Tunis sont en demi-teinte, mais au moins a-t-il permis que l'on parle de processus qui devront se poursuivre. En dépit d'une préparation communautaire importante, puisque le sujet avait été évoqué par les ministres en juin et le mandat de l'Union précisé juste avant la tenue du Sommet, nous avons le sentiment que la coordination a manqué pendant le Sommet lui-même et que l'Union aurait pu faire mieux si elle s'était mieux coordonnée. On se félicitera que le Sommet ait au moins permis que le processus multilatéral se poursuive. L'Union européenne devra continuer de défendre une position concertée dans toutes les instances concernées.

M. Pierre COHEN, Président : Nous souhaitons que le Conseil des ministres des Télécommunications assure le suivi de ce dossier, suivi politique qui fait souvent défaut. Le problème tient aussi au calendrier de ses réunions, qui ne sont pas obligatoirement prévues avant toutes les négociations importantes. Aussi souhaitons-nous que le sujet soit systématiquement débattu tous les semestres, lors de tous les Conseils des télécommunications, pour garantir la meilleure coordination des positions de l'Union, qu'il s'agisse des très importants processus engagés à Tunis ou de la Conférence mondiale de développement des télécommunications qui se tiendra en mars 2006.

M. Joël THORAVAL, Président de la Commission nationale consultative des droits de l'homme (CNCDH)

Je prendrai la parole en ma qualité de président du groupe de travail sur la protection de l'enfant et les usages de l'Internet, créé par le ministre chargé de la famille, et en tant que président de la Commission nationale consultative des droits de l'homme, qui a émis un avis sur cette question.

Les pouvoirs publics, conscients d'un problème très important, ont créé le groupe de travail début 2005 pour préparer la conférence de la famille. L'intérêt de cette démarche est triple. En premier lieu, elle a permis de centrer le débat sur la famille et la protection des jeunes face à l'Internet, conformément au mandat qui nous a été confié. Ensuite, la méthode de travail a été très concertée, de par la composition d'un groupe de 70 membres dont 30 à 40 ont participé aux travaux une après-midi par semaine pendant deux mois et demi. Nous avons dans ce cadre procédé à trente-cinq auditions, dans un spectre très large. Enfin, le suivi de nos travaux est assuré par les deux groupes de travail constitués à l'issue de la conférence de la famille et dont le ministre a confié les présidences respectives à Mme Falque-Pierrotin et à moi-même.

A quel constat sommes-nous parvenus ? De par la diversité des membres du groupe et la recherche raisonnée d'un consensus, les travaux étaient inscrits dans une perspective ouverte. Le groupe a souligné l'essor considérable des outils immatériels que constitue l'Internet, et leur exceptionnelle richesse ; de manière concomitante, il a affirmé que les risques sont à la mesure des potentialités, c'est-à-dire considérables. Il a donc affirmé la nécessité de prendre des mesures nouvelles pour la famille et de les conforter par des partenariats externes puissants.

Pourquoi ce recentrage sur la famille ? Parce que, le plus souvent, les risques liés à l'Internet mettent en cause la responsabilité des parents, et parce que les risques, nombreux, interrogent sur le rôle et la place des parents auprès de leurs enfants.

Le groupe de travail a formulé treize constats regroupés en trois volets : les risques, les relations entre parents et enfants et une interrogation sur l'efficacité des mesures déjà prises.

S'agissant des risques, le groupe a mis en évidence le risque de pornographie, de pédophilie, de violence, d'atteinte à la dignité humaine - délit auquel la CNCDH est particulièrement attentive. Il a aussi souligné les risques d'un « cyber-marketing » agressif tendant à collecter des données personnelles auprès de mineurs très jeunes à l'occasion de jeux en ligne. Il a enfin mis l'accent sur le volet sanitaire de cette activité, les psychiatres soulignant le risque de comportements d'addiction.

Que dire des relations entre les parents et les enfants dans ce contexte ? Trop souvent, les enfants surfent seuls dans leur chambre - c'est le cas de 83 % des 8-18 ans. On a également observé qu'enfants et parents ne font pas le même usage de l'Internet, ces derniers le connaissant peu ou mal. De plus, les outils de contrôle existants sont d'une fiabilité inégale. Les parents doivent donc s'impliquer davantage mais, en cette matière, ils ignorent souvent leurs responsabilités éducatives et pénales, au mépris de l'article 371-1 du code civil, qui définit l'autorité parentale comme « un ensemble de droits et de devoirs ayant pour finalité l'intérêt de l'enfant », précisant qu'« elle appartient aux père et mère jusqu'à la majorité ou l'émancipation de l'enfant pour le protéger dans sa sécurité, sa santé et sa moralité, pour assurer son éducation et permettre son développement, dans le respect dû à sa personne ». Mais le groupe de travail a aussi constaté que les parents ressentent un fort besoin d'accompagnement. Selon Eurobaromètre, 55 % des parents français souhaitent disposer de plus d'informations sur les moyens de sécuriser l'utilisation de l'Internet par leur enfant.

Le groupe a ensuite cherché à évaluer l'efficacité des mesures décidées par les autorités publiques et privées. Il est apparu que si de nombreuses actions ponctuelles ont été prises, fréquemment en partenariat, elles ne se prolongent pas dans la durée et, surtout, que les moyens manquent. De plus, la législation n'est ni assez connue ni assez appliquée, les études fiables sont pratiquement inexistantes ou leurs conclusions sont divergentes, et si des instances de concertation existent, la question globale de la protection de l'enfance au regard de l'Internet n'est pas prise en charge de manière globale. Pourtant, des expériences réussies ont eu lieu à l'étranger, notamment au Canada.

Le groupe de travail a formulé une série de propositions consistant à sensibiliser et informer les parents, à définir un label « qualité famille », à protéger les enfants en rendant les modérateurs obligatoires, à pérenniser les actions françaises et européennes de protection de la famille par un appel à projets.

Après que ces propositions ont été faites, le Gouvernement a annoncé, lors de la conférence de la famille du 22 septembre dernier, l'élaboration d'un label « Famille » et le lancement d'une campagne de sensibilisation. Deux groupes de suivi ont été créés. C'est donc une démarche concertée qui a été choisie pour parvenir à l'approche la plus consensuelle possible d'un problème de société majeur, qui ne cessera de s'aggraver.

Mme Marie LAJUS, Commissaire principal de police, Chef par intérim de l'Office central de lutte contre la criminalité liée aux technologies de l'information et de la communication (OCLCTIC)

Avant de traiter de l'action des services de police dans la régulation de l'espace cybernétique et de l'application du droit pénal dans cet espace, je citerai un message affiché sur une quinzaine de blogs le 8 novembre dernier : « Dés ce soir à Grigny qu'on ne voit que nous à la télé, faut cramer la caserne des pompiers qui est collée à la Grande Borne, montrez que vous êtes armés et que vous avez pas que de la grenaille, faut tuer des flics, l'enfer va commencer pour les condés et tous ceux qui voudront nous arrêter »...

Aussitôt repéré, ce message a été supprimé, et son auteur arrêté par mes services quelques jours plus tard. Si je vous en ai donné lecture, c'est pour bien faire comprendre que l'Internet n'est pas un monde virtuel coupé du monde réel, mais qu'il fait partie du monde réel et que les actes qui y sont commis ont un impact qui implique une responsabilité. Au-delà des violences urbaines, les exemples foisonnent d'actes de pédophilie, de proxénétisme, d'atteintes à la vie privée ou d'escroqueries commises par le biais de l'Internet. Le droit et la loi doivent donc s'appliquer à cet espace social nouveau pour en faire un espace de citoyenneté. Voilà pourquoi j'ai intitulé mon exposé « Pour un Internet policé ».

Pour les services de police, l'enjeu de la gouvernance de l'Internet est d'assurer l'application du droit à cet espace. Or, face à une pratique internationale, le droit pénal est le droit le plus national qui soit puisqu'il n'y a pratiquement pas de droit pénal international, et moins encore en matière de procédure pénale. Dans ce contexte, deux questions se posent : comment appliquer la loi française dans cet espace ? Quelles règles minimales, notamment en matière de conservation de données, garantissent l'application du droit à l'Internet ?

Pour tenter de répondre à la première interrogation, il faut commencer par définir ce qu'est une « scène de crime » sur l'Internet ou, plus exactement, comment poursuivre une enquête en passant par la Russie, la Californie, la Chine... Qu'en est-il du « lieu constaté » d'une infraction ? S'agissant de l'Internet, l'infraction est caractérisée en tout lieu de diffusion où elle est constatée. L'enquête part d'une constatation d'infraction et vise à remonter vers les auteurs, en recherchant des éléments d'identification qui sont, ici, les traces ou les données techniques qui pointent vers des lieux, des dates ou des personnes bien réelles. On pense souvent que notre action est déconnectée du monde réel. Il n'en est rien ! Notre objectif est bien de passer les menottes à l'auteur de l'infraction.

Or, certains éléments d'identification sont publiquement accessibles mais l'essentiel de ce qui nous est utile est constitué de données confidentielles stockées chez des fournisseurs d'accès français ou étrangers.

Si l'on prend l'exemple d'un site dont il n'est pas souhaitable que le nom figure au compte rendu, qui diffuse en France de la pornographie infantile, on s'aperçoit qu'il est hébergé en Chine et que le nom de domaine a été acheté en Californie par un Russe. Si je veux obtenir ses coordonnées bancaires, il faut que je dépose une requête judiciaire, qu'elle soit acceptée par les autorités californiennes, c'est-à-dire qu'elle respecte à la fois le droit français et le droit californien. Les choses seront bien sûr encore plus compliquées pour obtenir les éléments d'identification auprès du serveur chinois et pour se procurer les renseignements bancaires auprès d'une banque russe.

Je reviens à l'incitation à commettre un crime sur la personne d'un policier. Elle était affichée publiquement, pendant les violences urbaines, sur un blog hébergé, comme la quasi-totalité, chez Skyrock. Pour obtenir l'adresse IP de son auteur, il n'a fallu qu'une heure compte tenu de la collaboration efficace que nous avons avec les fournisseurs de services français. Quelques heures de plus pour obtenir l'identité de la personne ayant souscrit l'abonnement, et nous pouvions intervenir. Si le même message avait été diffusé sur un groupe de discussions Yahoo en français, les choses auraient été bien plus compliquées : il aurait fallu récupérer l'information chez Yahoo Etats-Unis, c'est-à-dire, au lieu de se contenter d'une enquête préliminaire, faire ouvrir une information judiciaire avec une commission rogatoire internationale transmise via l'attaché de sécurité intérieure en poste aux États-Unis. Cela aurait pris des semaines, et peut-être n'aurais-je jamais obtenu de réponse.

Voilà qui illustre l'importance de disposer d'un secteur industriel fort dans notre pays, qui réponde à la législation française, ou du moins que les prestataires extérieurs disposent en France de bureaux répondant à la législation française. Cela montre aussi l'importance de règles de coopération judiciaire développées ainsi qu'en matière de conservation et de communication de données et d'éléments techniques d'identification, les règles nationales et internationales devant assurer aux autorités publiques la capacité d'obtenir ces informations.

J'en viens aux règles importantes pour pouvoir travailler et aboutir dans le cadre des enquêtes de police. La conservation et l'accessibilité des données sont les deux piliers d'un Internet soumis au droit. Les données techniques - adresses IP, identités déclarées par les internautes, heures et lieux de connexion, éléments de facturation - sont celles qui permettent de faire le lien entre l'Internet et le monde réel et d'appliquer le droit. Sans accès des forces de l'ordre à ces données, il est impossible de garantir les personnes contre les usurpations d'identité, qui se développent, de retrouver les auteurs d'escroqueries de grande ampleur telles que le phishing et le farming, d'identifier des pédophiles qui échangent des images de viols d'enfant ou recrutent leurs victimes dans des chats sur l'Internet.

Les initiatives législatives européennes sont très importantes pour l'application de la loi. Les débats sur la conservation des données porte trop souvent sur la problématique économique, le lobbying des opérateurs étant très important. Ils réussissent très bien à faire passer le message que la conservation des données représente un coût, une contrainte et un risque d'atteinte à la vie privée. Certes, les règles d'accès à ces données doivent être strictes, mais nous avons besoin d'une durée de conservation minimale. Nous sommes donc insatisfaits de la directive européenne adoptée la semaine dernière qui limite aux crimes graves la conservation et l'accès. Or, il est vraisemblable que l'échange d'images pédophiles ne serait pas considéré comme tel, puisque c'est un délit puni de trois ans d'emprisonnement. De même, l'usurpation d'identité aurait peu de chances d'être retenue comme un crime grave.

Il faut savoir de quelle gouvernance on parle. Les débats sur la directive ont essentiellement porté sur la gouvernance économique. Quant aux débats sur les noms de domaine et l'ICANN, ils relevaient surtout de la gouvernance technique. Or ce dont nous avons aujourd'hui besoin, c'est d'une gouvernance citoyenne, qui ne croise pas nécessairement les deux autres. En effet, l'attribution des noms de domaine et des adresses IP, pour importante qu'elle soit, n'exonère pas d'une réflexion sur cette gouvernance citoyenne en faveur de laquelle de nombreuses initiatives locales peuvent encore être prises.

Je reviens encore à ce message typique des contenus illégaux sur lesquels je travaille chaque jour. Comme je l'ai dit, s'il était apparu sur un groupe de discussions Yahoo, il m'aurait fallu plusieurs mois pour identifier son auteur et je n'y serais peut-être jamais arrivée. Mais les choses auraient été différentes s'il avait été sur un groupe de discussions Google, société américaine qui diffuse beaucoup en France et qui a fait le choix de rendre les adresses IP accessibles à tous. C'est chez eux une obligation contractuelle : quand vous vous inscrivez, vous savez que votre adresse IP sera accessible. Pour un service de police, le résultat est formidable : je peux immédiatement savoir s'il s'agit d'un Français et, en cas de nécessité, aller jusqu'à l'interpellation. Mais en fait, les messages délictuels ou attentatoires à la dignité humaine sont extrêmement rares sur Google, dont la politique entraîne une autorégulation de fait.

J'en tire la conclusion que les modalités de régulation de l'Internet sont aussi le fait de conventions, d'accords et de pratiques locales, encore largement ouvertes et évolutives, dans un univers dans lequel nombre d'acteurs sont encore nationaux. Ainsi la majorité des fournisseurs d'accès et de services utilisés par les internautes français sont eux-mêmes français. Nous avons matière à établir avec eux des régulations citoyennes. Nous avons un large champ d'action pour une gouvernance citoyenne locale, et des régulations coopératives public-privé, un travail coopératif que mènent les services de police. Par exemple, nous arrivons à faire mettre en place par les fournisseurs de services et d'accès des points de contact que les policiers peuvent joindre à tout moment s'ils ont besoin de leur coopération. Nous recherchons aussi un engagement des fournisseurs d'accès en faveur de la protection de l'enfance. Nous travaillons à un dispositif de signalement des contenus illégaux, sur un« certificat citoyen » qui permette d'évaluer l'engagement dans la coopération avec les autorités publiques.

Vous vous êtes demandé au début de la séance, Monsieur Jean-Yves Le Déaut, pourquoi nous faisions cette réunion en France. Je dirai tout simplement parce que la problématique globale de la gouvernance de l'Internet n'exonère pas d'un engagement local pour la citoyenneté de l'Internet, pour un Internet policé, dont les modes de régulation doivent parfois échapper aux schémas traditionnels de la régulation légale et réglementaire et s'engager dans la voie d'une régulation coopérative.

M. Pierre COHEN, Président : Merci beaucoup. Je crois que si nous ouvrons un débat sur une loi en faveur de l'Internet policé, nous aurons énormément de réactions en raison de la vigilance permanente autour de la citoyenneté. C'est certainement pour parvenir à la gouvernance citoyenne que vous appelez de vos vœux qu'il y aura le plus de difficultés.

Mme Marie GEORGES, Conseiller du Président de la Commission nationale de l'informatique et des libertés (CNIL)

M. Jean-Yves Le Déaut a souligné tout à l'heure le besoin de lois fondatrices. Eh bien nous pouvons être fiers d'avoir une telle loi en faveur de la protection des données personnelles, c'est la loi informatique et libertés.

Quel a été son impact sur les questions que nous nous posons à propos de la sécurité et de la confidentialité de l'Internet ? La loi date de 1978 et nous avons eu une vague technologique sans aucun précédent pour les possibilités de traitement des données personnelles. À tous les étages du réseau, on tombe sur les traitements des données personnelles, à commencer par les adresses IP. Vous ne pouvez pas communiquer sur Internet sans être tracé. Vous avez une adresse IP, on sait tout ce que vous faites. Vous allez consulter le site du ministère des finances pour avoir une information banale sur le paiement d'impôt, il y a une adresse IP derrière... Il s'agit donc d'une technologie qui est sans doute très bien pour certains usages, mais qui n'était pas tout à fait appropriée à d'autres. Il est vrai qu'elle est d'origine militaire, mais c'est une difficulté de base, qui se retrouve d'ailleurs dans le débat sur les données de connexion.

L'Internet s'est développé extrêmement vite : l'ouverture commerciale ne date que de 1993, et douze ans après, nous communiquons tous d'un bout à l'autre de la Terre, à des coûts très faibles, avec des logiciels d'application géniaux comme les sites Web. Mais tout cela entraîne un traitement de données personnelles, tout comme les sites commerciaux, mais aussi souvent les diffusions d'informations. Il y a d'ailleurs eu un débat en France sur la diffusion des décisions de justice sur l'Internet, avec le nom des parties, qui pourrait, si l'on n'y prend pas garde, se retourner contre les individus. Car l'Internet est une mémoire mondiale où tout reste sans contrôle.

L'infrastructure des adresses IP, le développement de traitements de données personnelles de type relationnel et la diffusion de l'information sont les trois aspects les plus caractéristiques et les plus intéressants du point de vue de la loi informatique et libertés.

Nous avons en Europe depuis 1995, grâce à la directive relative à la protection des données, un cadre juridique extrêmement adapté, qui consacre d'ailleurs la politique française initiée par la CNIL en son temps afin de se donner les moyens juridiques d'assurer la poursuite de la protection lors du transfert de données vers l'étranger.

Dans les années 1993-1995, les acteurs de ce domaine se sont posé la question de savoir si la loi informatique et liberté lui était applicable. La CNIL a bien montré qu'il y avait là des données personnelles, comme l'adresse IP, et les acteurs ont rapidement vu l'intérêt de l'application très stricte de certains principes. La CNIL a développé une politique d'information, et les choses ne se passent pas trop mal avec les responsables du secteur, la question essentielle restant la conservation des données de connexion.

La loi française a fixé le délai maximum à un an, mais le décret d'application n'est toujours pas paru. Nous sommes aussi dans une démarche européenne engagée il y a huit ans sur le thème de la cybercriminalité et qui se poursuit aujourd'hui autour du terrorisme. On comprend toute la difficulté d'arbitrer entre la liberté d'information et la protection de la vie privée : bascule-t-on dans une société de surveillance si on garde systématiquement toutes les données très longtemps, comme en Chine ? Doit-on prévoir des délais plus courts avec des moyens beaucoup plus importants pour les forces chargées de la répression au niveau international ?

La Convention sur la cybercriminalité de 2001 du Conseil de l'Europe prévoit la possibilité de conserver les données à titre conservatoire. Avec une commission rogatoire, il est possible de demander à un FAI de conserver les données pendant trois mois. Il faut continuer à réfléchir à ces questions.

Mais, si nous sommes plutôt bien le pied en Europe, tel n'est pas le cas au plan mondial et c'est là que se situe le problème. En 1995, s'est déroulé à Bruxelles un G7 dont la déclaration finale affirmait la nécessité « d'assurer de manière effective la protection de la vie privée des personnes ». Or que trouve-t-on dans les conclusions du dernier SMSI ? « Nous exhortons toutes les parties prenantes à garantir le respect de la vie privée et la protection des informations et données personnelles, et ce par différents moyens : adoption de législations, mise en œuvre de cadres de coopération, élaboration de meilleures pratiques et mise au point de mesures techniques et d'autoréglementation par les entreprises et les utilisateurs ». En réalité, il n'y a aucun cadre au plan mondial et c'est aujourd'hui le principal enjeu.

Dès 1998, dans un rapport sur l'Internet et les réseaux numériques, la CNIL a réclamé une convention internationale. Quarante-trois pays ont des législations adaptées, mais tel n'est pas le cas des États-Unis, même si le concept d'autorité indépendante est d'origine américaine. Les commissaires à la protection des données de ces pays, réunis à Montreux en septembre dernier, ont adopté une déclaration demandant également une telle convention. En 1980, les États-Unis ont quitté la réunion du Conseil de l'Europe qui élaborait la convention sur la protection des données, qu'ils jugeaient trop contraignante, pour rejoindre l'OCDE qui préparait simplement des « lignes directrices ». Bien sûr, ces instruments sont compatibles, mais les lignes directrices ne sont pas contraignantes. Or nous avons besoin absolument d'un instrument adapté, avec un mécanisme d'application afin que les autorités de protection des données jouent un rôle au plan mondial.

La question essentielle est celle des moyens. Notre conférence internationale est organisée chaque année par un pays différent, nous n'avons aucun secrétariat permanent. Ainsi, nous ne pouvons pas suivre les décisions prises par les instances internationales, y compris dans les organisations internationales spécialisées émanant de l'ONU : je pense par exemple au passeport biométrique et à la carte biométrique d'identité des marins. Il faudrait que nous puissions apporter une assistance aux pays qui cherchent à traiter ces questions. Cela passe pour nous par une institutionnalisation de la conférence internationale des commissaires à la protection des données.

La CNIL et son homologue espagnol ont pris des initiatives passionnantes au plan mondial. Dans le cadre du sommet ibéro-américain de 2003, nos collègues ont obtenu que tous les États d'Amérique latine s'engagent à développer les règles de protection des données. En 2004, la CNIL a mené une action analogue lors du sommet de Ouagadougou, et la déclaration finale comporte un engagement des chefs d'État à développer également ces règles et à soutenir les actions de coopération entre les autorités de contrôle. Un programme de coopération a été lancé au sein de la francophonie. On le voit, dans ces questions de gouvernance, il faut compter avec l'Europe et avec sa sphère d'influence linguistique.

Nous sommes confrontés à de grandes difficultés dans un certain nombre de nos domaines d'intervention. Ainsi, nous n'arrivons absolument pas à obtenir une généralisation des règles applicables en France en ce qui concerne les annuaires qui donnent les identités des sites Internet. En quatre ans, nous n'avons obtenu aucun progrès de l'ICANN.

De même, en Europe, nous disposons des règles juridiques permettant de définir le Spam comme une sollicitation non souhaitée : le principe est le consentement préalable à la collecte des adresses e-mail à des fins de prospection, avec des dérogations qui reposent sur l'information de la personne et son droit de s'y opposer dans le cadre des relations contractuelles. Avant même l'adoption de ces règles, dès 1999, la CNIL avait donné des indications similaires en vertu de son pouvoir d'interprétation. En 2002, nous avons ouvert une « boîte à spams » pour recueillir les réclamations. Nous ne l'avons maintenue que pendant trois ans, car nous ne disposions pas des moyens nécessaires pour indexer les spams et rechercher leur origine. Mais nous avons eu le temps de constater que plus de 80 % de ces messages, quelle que soit leur origine géographique, étaient au bénéfice de sociétés américaines. Cela signifie tout simplement que chacun doit faire le ménage chez soi pour que nous soyons tous tranquilles.

Des accords de coopération ont été passés en Europe à ce sujet en 2004, et il est fort dommage que les conclusions du Sommet de Tunis n'y fassent pas référence. De mon point de vue, parler de coopération internationale signifie faire pression sans relâche sur les Etats au bénéfice desquels ces messages sont envoyés.

Quant aux normes techniques, elles ne sont pas neutres au regard de la loi Informatique et libertés. Prenons l'exemple des « cookies » : ils ne comportent aucune zone descriptive expliquant leur finalité. Comment pouvons-nous nous organiser pour influer sur les normes, alors que nous n'avons aucun moyen de le faire ?

M. Jean-Yves LE DÉAUT, Président : Vous avez démontré qu'en dépit de l'existence d'une loi sur la protection des données personnelles, des problèmes considérables doivent encore être résolus. Autrement dit, ce n'est pas parce qu'une loi existe, antérieure à l'apparition de ces techniques, que les problèmes sont réglés. Ce n'est donc pas par une approche nationale que l'on réglera cette question mais par une démarche globale, pour traiter la question dans tous ses aspects : politiques, sociaux et éthiques. Si l'on procède autrement, on ne parviendra pas à prendre une position politique.

M. Nicolas CURIEN : L'Autorité de régulation des communications électroniques et des postes est le nouveau nom donné à l'Autorité de régulation des télécommunications pour signifier l'extension de ses missions. L'ARCEP, qui ne s'occupe que des « tuyaux », n'a aucune compétence sur la régulation des contenus. Elle a pour mission la gestion et l'attribution des ressources rares que sont les fréquences radioélectriques et les numéros de télécommunication nécessaires aux opérateurs pour établir des réseaux mais elle n'a pas d'emprise directe sur les adresses IP. Pour autant, l'ARCEP ne se désintéresse pas de la question car la convergence est prévisible entre l'attribution de numéros de télécommunications et celle d'adresses électroniques.

M. François LIONS, Directeur général adjoint de l'Autorité de régulation des communications électroniques et des postes (ARCEP)

L'ARCEP est impliquée dans la téléphonie traditionnelle, secteur dans lequel les Etats se sont dès l'origine préoccupés d'assurer l'interopérabilité et l'universalité des services par l'adoption de règles visant à garantir une allocation efficace des ressources de numérotation ainsi que le respect des exigences de transparence, d'objectivité et de non-discrimination, afin que l'accès aux ressources de numérotation ne constitue pas une barrière injustifiée à l'entrée sur le marché, ni un frein au développement de nouveaux services.

Comme l'a souligné M. Curien, l'ARCEP n'a pas de compétence en matière d'adressage IP. Celui-ci présente des caractéristiques comparables à celles de la numérotation téléphonique, mais sa portée est beaucoup plus large. En effet, alors que les numéros téléphoniques sont essentiellement utilisés pour des communications interpersonnelles, les numéros IP sont attribués à des machines, ce qui conditionne l'industrie ou, en tout cas, les opérateurs et les fournisseurs d'accès que nous régulons.

Le dispositif de gestion de ressources, dérivé des procédures ICANN, ne semble pas poser de problème particulier aux acteurs français de l'Internet.

L'attribution des noms de domaine est également hors de notre champ de compétence, mais l'on comprend que la désignation en clair d'un site puis sa traduction en adresse IP ont des conséquences dans différents domaines : propriété industrielle, noms de marque, considérations de politique générale... La gestion des noms de domaine est déléguée par l'ICANN à l'AFNIC pour le suffixe ".fr" Un pont a été créé entre « téléphonistes » et « internetistes » via ENUM - tElephone NUmber Mapping - et le débat a été ainsi lancé sur l'adoption de principes communs pour l'allocation des différentes ressources d'adressage.

Si l'ARCEP est éloignée de la gouvernance mondiale de l'Internet sur le plan opérationnel, elle ne s'en désintéresse pas, tant s'en faut. En premier lieu, en tant qu'autorité de régulation sectorielle, l'ARCEP a une activité soutenue pour le développement de l'Internet en France dans des conditions de concurrence et de juste prix pour le consommateur. On l'a vu pour l'Internet à bas débit ; les mesures de régulation prises par l'Autorité ont permis l'émergence de fournisseurs d'accès français et des offres à des prix facilitant l'entrée de la France dans la société de l'information, si bien que l'on comptait près de 7,5 millions d'abonnés à l'Internet fin 2002. Cela est encore plus visible aujourd'hui avec le développement exemplaire de l'Internet à haut débit, largement issu des conditions de concurrence imposées par l'Autorité et qui vaut à la France des commentaires élogieux et parfois surpris. Cette action a permis la constitution d'un secteur de l'Internet français relativement fort et structuré, ce qui devrait aller dans le sens souhaité par Mme Lajus.

En second lieu, l'évolution technologique du secteur laisse présager une interaction entre le monde de l'Internet et celui des télécommunications traditionnelles. Une manifestation apparente de cette évolution est « la voix sur IP » ou, plus précisément, la « voix sur large bande ». On s'oriente manifestement vers une infrastructure « tout-IP », tendance qui aura des effets bénéfiques car elle facilitera la diversité des offres, mais qui exigera une attention vigilante pour veiller au maintien de l'interopérabilité et de la qualité des réseaux.

Je conclurai en soulignant que, d'une certaine façon, les téléphonistes historiques et les « internetistes » se retrouvent sur des valeurs d'universalité. Notre expérience en matière de téléphonie nous montre que la gestion des ressources d'adressage suppose la reconnaissance de principes communs. C'est d'autant plus important que la technologie IP est en passe de devenir la technologie maîtresse de support des nouveaux services et des services traditionnels de communications interpersonnelles. Je rends donc hommage à la perspicacité et à la pertinence dont fait preuve votre Office en organisant ce colloque.

M. Nicolas CURIEN : Notre souci est de garantir l'égalité d'accès à la ressource et d'empêcher l'organisation d'une pénurie artificielle.

M. Ibrahim DUFRICHE-SOILIHI : Qu'a changé le passage d'IPv4 à IPv6 ?

M. François LIONS : L'espace d'adressage a été considérablement amplifié par le passage d'un système numérique basé sur des nombres d'une longueur de 32 bits à la nouvelle génération d'adresses IPv6 sur des nombres de 128 bits.

M. Georges PARISOT : Ce qui ressort des différentes interventions, c'est l'importance capitale de ce qui se passe hors de France.

M. Claude BIRRAUX : Ne peut-on craindre que le renforcement de la protection des données ne rende plus difficile le travail de Mme Lajus ?

M. Pierre COHEN, Président : II y a deux visions de l'espace d'échanges qu'est l'Internet : un espace de liberté, avec toute la perversité qui peut s'y glisser, ou un espace à réguler.

Mme Marie LAJUS : Pour moi, un espace de liberté ne se conçoit pas sans responsabilité. C'est l'enjeu d'une régulation bien tempérée que de protéger. S'agissant de l'accès aux données personnelles, il faut parvenir à un équilibre tel que l'on garantisse une conservation qui a des implications industrielles - par exemple, la facturation - tout en assurant le respect du droit. Je souligne que les données collectées ne peuvent être communiquées que dans des cadres délimités.

Mme Marie GEORGES : Nous sommes en phase : je pense également qu'un réseau numérique permet le meilleur ou le pire. En cette matière, on peut faire le meilleur en Europe, où des lois existent, mais l'Europe n'est pas seule. S'agissant de la sécurité et de la liberté, une tradition d'équilibre et de conciliation a été créée en France, qui doit être préservée. Mais l'allongement de la durée de stockage des données risque de nous faire entrer dans une société de surveillance. Le risque existe aussi qu'un jour on fasse autre chose des données collectées que ce pourquoi elles ont été recueillies. Tout l'enjeu tient à la durée de conservation : c'est là que se joue l'équilibre. Cela ne veut pas dire que si l'on a mis un problème à jour on ne pourra pas continuer de surveiller la personne suspecte.

Mme Marie LAJUS : II a été fait mention du caractère international de l'Internet. Je rappelle cependant que la grande majorité des opérateurs, des fournisseurs et des éditeurs de contenus sont français. Il y a là un champ gigantesque à investir et il est malheureux de se focaliser sur la technique en négligeant l'immense travail déjà accompli et celui qui reste à accomplir avec l'industrie. La France est très en avance dans la régulation citoyenne de l'Internet.

M. Bertrand de LA CHAPELLE : Le besoin d'un cadre juridique international a été débattu lors du Sommet de Tunis, mais des difficultés existent. La première est l'absence de cohérence des décisions prises au sein des différentes organisations internationales : l'OMC, l'UNESCO et l'OMPI n'adoptent pas toujours des positions identiques car elles représentent des ministères différents. Ensuite, si l'expression « régulation coopérative » est très prometteuse, sa mise en œuvre demande de nouveaux instruments pour réguler les gouvernements, la société civile et les opérateurs privés. Enfin, il faut un cadre de discussion international où tous les acteurs sont sur un pied d'égalité, ce qui est un obstacle conceptuel majeur pour beaucoup. Si la France a une expérience à faire valoir en matière de corégulation, c'est bien celle-là, et la création du forum sur la gouvernance de l'Internet devrait valoriser l'expérience française.

M. Jean-Yves LE DÉAUT, Président : Vous avez dit, Monsieur Curien, qu'il ne faudrait pas que le passage de la norme IPv4 à IPv6 crée une rareté artificielle. Mais comment pourrait-on offrir moins de possibilités alors qu'il y en aura immensément plus ?

M. Nicolas CURIEN : II y aura en effet très vraisemblablement suffisamment de ressources pour satisfaire tout le monde. Mais l'expérience d'IPv4 nous a montré que c'est par la façon dont les choses sont gérées qu'on peut créer la rareté.

M. François LIONS : Avec IPv4, 80 % des adresses étaient aux États-Unis.

M. CLAUDE BIRRAUX, Président : Nous abordons le second thème de cette matinée, et je donne sans plus tarder la parole à M. Michel Petit.

Table ronde n°2 : Aspects scientifiques et techniques,
sous la présidence de M. Claude BIRRAUX, député de Haute-Savoie, Premier Vice-Président de l'OPECST

M. Michel PETIT, Président de la section scientifique et technique du Conseil général des technologies de l'information,
membre du Conseil scientifique de l'OPECST

M. Michel PETIT : Je me propose dans cette intervention d'essayer de dégager, dans les caractéristiques du réseau Internet, ce qui est important pour sa gouvernance mondiale.

Lors du sommet mondial et de sa préparation, le débat sur la gouvernance de l'Internet a tourné essentiellement autour de la gestion des adresses permettant à un utilisateur de se connecter à un correspondant situé éventuellement aux antipodes. On a parlé essentiellement de l'organisme de droit privé ICANN - Internet Corporation for Assigned Names and Numbers - situé à Los Angeles, soumis à la loi californienne et placé sous le contrôle du Department of Commerce des Etats Unis.

Je rappelle qu'une adresse Internet est composée de deux parties de part et d'autre de l'arobase. La partie après l'arobase se termine par un identifiant du premier niveau. Ces identifiants sont au nombre d'un peu plus de 250 et correspondent à des pays, comme .fr qui nous est familier, .de (Deutschland), .us (USA) ou .uk (United Kingdom) et quelques extensions comme .com ou .org. Récemment est apparu .eu pour l'Europe. Chaque gestionnaire de premier niveau, comme l'Association Française pour le Nommage Internet en Coopération (AFNIC) qui gère .fr et dont nous allons entendre dans quelques instants le directeur, Mathieu Weill, attribue à chaque fournisseur d'accès Internet un nom de domaine qui précédera immédiatement l'identifiant de premier niveau. ICANN est chargée de gérer l'adresse des gestionnaires de premier niveau, c'est-à-dire essentiellement l'identifiant et le numéro de son serveur.

Même si l'intention était louable, le veto du gouvernement américain à l'introduction d'un nom de domaine .xxx réservé à des sites pornographiques montre bien son influence sur le système. La mise à jour au quotidien de la table des identifiants des fournisseurs d'accès n'est pas faite par l'ICANN, mais par l'IANA (Internet Assigned Numbers Authority), aujourd'hui encore abritée par l'ICANN. La fiche de modification est validée par le département du Commerce, puis entrée dans le serveur de la société VeriSign qui est sous contrat de ce dernier. L'information est ensuite dupliquée dans douze serveurs de premier niveau, dont trois seulement sont situés hors des États-Unis. Des copies partielles peuvent être faites par les fournisseurs d'accès, pour leur commodité, à charge pour eux de remettre à jour ces copies régulièrement. L'IANA ne gère pas directement elle-même les adresses numériques affectées à chaque ordinateur et nécessaires au fonctionnement technique du réseau. Elle affecte des paquets d'adresses à 5 RIR (Régional Internet Registries), qui répartissent, selon d'obscurs critères, cette dotation en paquets plus petits confiés aux fournisseurs de service Internet qui finalement donnent une adresse à chaque ordinateur. Souvent cette adresse n'est affectée à un client donné que pendant le temps de sa connexion au réseau Internet, le serveur du fournisseur d'accès l'affectant à un autre client à cause de la pénurie de numéros dont souffre IPv4.

Cette structure technique fait apparaître que la gouvernance d'Internet ne se réduit pas à la gestion de ICANN. L'IANA, Verisign et les RIR mériteraient également une certaine attention. Notre indépendance est également menacée au niveau des dispositifs électroniques qui aiguillent les paquets vers leur destinataire. Ces routeurs sont le monopole de fait du seul fournisseur compétitif Cisco qui le partage depuis peu avec la société chinoise Huawei dans le cadre d'un accord mettant fin à un conflit relatif à la propriété industrielle. L'existence de portes de service fournissant des renseignements à ceux qui y ont accès n'est pas exclue.

L'avenir va être marqué par une explosion du nombre des objets ou documents auxquels sera attachée une adresse Internet. De nombreux appareils domestiques pourront être actionnés à distance par le réseau Internet. L'armée américaine, qui avait perdu un certain nombre d'obus non tirés lors de la première guerre du Golfe, pourra résoudre un problème de cette nature par une interrogation depuis un satellite. Les objets vendus dans les supermarchés auront une radioétiquette assurant leur traçabilité et la facturation automatique du contenu du caddie sans qu'il soit nécessaire d'en sortir les objets un par un. Pour permettre cette multiplication du nombre des adresses, on l'a dit, le protocole IPv6 avec ses adresses à 128 bits se substituera au protocole IPv4 à 32 bits. La gestion du système d'adressage posera des problèmes d'une dimension nouvelle.

L'évolution technique permet de penser que l'avenir est à la transmission sous forme de paquets numériques de tous les types d'information : voix, images fixes ou mobiles, données. L'UIT est en train de définir la structure du réseau de nouvelle génération NGN (Next Génération Network). Il s'agit pour l'essentiel d'une intégration commode pour les opérateurs de télécommunications de tous les services existants comme le réseau téléphonique commuté et l'Internet. Ce nouveau réseau devrait assurer la qualité de service et garantir que le message sera délivré à la bonne adresse dans des délais garantis. Il permettrait d'assurer le flux dans le cadre d'une liaison unique des sons, des images fixes ou mobiles, des données. Bien que ce système soit conçu au départ comme un outil au service de l'Internet, je ne suis pas certain que sa souplesse n'aura pas d'influence sur l'évolution d'Internet et sur sa gouvernance.

M. Claude BIRRAUX, Président : On parlait jadis de l'œil de Moscou, aujourd'hui c'est plutôt la main de l'Oncle Sam...

Mme Sabine JAUME-RAJAONIA,
Chargée des relations extérieures du GIP Renater

Le GIP RENATER assure la maîtrise d'ouvrage du Réseau National de télécommunications pour la Technologie, l'Enseignement et la Recherche. En tant qu'organisme public, il suit les discussions sur la mise en œuvre des politiques publiques mais il est aussi lui-même un utilisateur important des ressources internet que sont les noms de domaine, les adresses IPv4 et IPv6, l'AS (Autonomous System), c'est-à-dire les numéros de systèmes autonomes permettant d'identifier les réseaux. Nous déployons aussi des copies des serveurs racine des noms de domaines, étant observé qu'en termes géopolitiques, il nous semble très important de multiplier les copies anycast des serveurs racine existants afin d'optimiser leur accès et de consolider l'architecture Internet mondiale. Il est donc de notre intérêt de nous assurer que ces ressources sont correctement attribuées, et c'est pourquoi nous sommes impliqués dans la thématique des noms de domaines non commerciaux. Je suis ainsi un des trois membres européens élus de l'Address Council d'ICANN.

On compte aujourd'hui 250 noms de domaines de pays, qui se sont beaucoup développés entre 1985 et 1999, de même que les noms de domaines dits génériques (.org, .com, .net), dont l'essor a entraîné en 1992 la signature d'un contrat de cinq ans avec la société Network Solutions Inc (NSI).

J'en viens aux numéros, aussi appelés ressources IP. Les adresses IPv4 sont codées sur 32 bits et les IPv6 sur 128 bits. Les premières ont été utilisées à partir de 1983 et le déploiement du protocole IPv6 a commencé en 1999. Le modèle d'adressage est dit classful : une partie de l'adresse sert à identifier le réseau, et l'autre permet d'identifier l'hôte. La nécessité d'une instance pour gérer ces adresses IP est apparue avec l'essor du réseau Internet et l'IANA (Internet Assigned Numbers Authority) a été créée. Mais, en 1992, on a estimé que l'adressage classful aboutirait à une pénurie, et a été développé un système de « redécoupage » dit classless avec la création de CIDR (Classless Inter-Domain Routing). Avec l'agrégation, il est apparu que la centralisation de l'attribution des adresses par l'IANA n'était pas assez évolutive et qu'il convenait de se rapprocher de l'utilisateur.

L'Internet Engineering Task Force (IETF) a publié en 1992 un Request for Comment (RFC) qui insistait sur la nécessité de la présence d'un registre dans chaque région géographique du monde. C'est ainsi que sont nés les RIRs (Régional Internet Registries), responsables de l'attribution des adresses IP sur leur territoire. Il y en a aujourd'hui cinq : AfriNIC (Afrique), APNIC (Asie Pacifique), ARIN (Amérique du Nord), RIPE NCC (Europe, Moyen Orient, partie de l'Asie), et LACNIC (Amérique latine et Caraïbes). Ces organismes à but non lucratif ont pour vocation d'attribuer les adresses de façon transparente et équitable, les statistiques d'attribution étant disponibles.

L'espace d'adressage est distribué de façon hiérarchique : IANA alloue des blocs d'adresses aux registres régionaux, qui les distribuent à des LIR (Local Internet Registries), lesquels les attribuent à leurs utilisateurs finaux. C'est ce que fait par exemple le GIP RENATER, qui est un LIR.

Puisqu'on parle de gouvernance, il est intéressant de voir qu'il existe des politiques d'adressage régionales et des politiques globales. Le rôle de l'ASO Address Council est de veiller à une gestion équitable, donc globale, comme pour IPv4. Pour IPv6 les discussions sont en cours. En effet, les politiques d'adressage font l'objet de discussions au sein de la communauté et les décisions sont prises de manière consensuelle, la notion de bottom up, c'est-à-dire l'écoute des utilisateurs, étant essentielle. Dans la « région Europe », la communauté intéressée par l'adressage se réunit deux fois par an. La création de la Number Ressource Organisation (NRO) a permis d'améliorer la coopération entre quatre RIR, le NRO Council et l' ASO Address Council ayant fusionné.

Les Registres régionaux et le processus de « bottom up » sont très importants pour une gestion transparente et optimale de l'adressage et la stabilité de l'Internet.

Restent, au cœur de l'Internet, les treize serveurs racine, c'est-à-dire les serveurs de noms qui sont à la racine de tout l'Internet, très centrés sur les Etats-Unis comme on l'a dit. Certains gestionnaires ont pris l'initiative de faire des copies pour que les demandes de noms de domaine puissent être faites au plus près des communautés nationales.

Quant à l'ICANN, elle a été créée en 1998, à l'initiative du gouvernement des Etats-Unis pour confier au secteur privé la gestion de l'Internet. Ses missions sont définies dans un Memorandum of Understanding (MoU), dont le dernier a été signé en septembre 2003, pour trois années. Cet organisme a été vivement critiqué, si bien qu'une réforme a été engagée en 2002 par son président, Dr Lynn, lequel a clarifié ses missions et réorganisé ses structures. L'activité principale de l'ICANN concerne l'espace générique, gTLD ; l'ICANN assure aussi la fonction de l'IANA concernant la distribution des blocs d'adresses aux registres régionaux. Son conseil d'administration est composé de quinze membres - le président et quatorze directeurs, désignés en respectant la notion de diversité géographique. L'ICANN comprend également trois organismes de support - ASO/NRO,ccNSO et GNSO - ainsi que des comités consultatifs, dont le Governmental Advisory Committee (GAC) où siègent les représentants des gouvernements, théoriquement réunis là pour peser sur les orientations et les choix. Mais quatre-vingt gouvernements seulement y sont représentés ; autant dire que l'on peut encore nettement améliorer le processus de consultation.

M. Mathieu WEILL, Directeur général de l'Association française pour le nommage Internet en coopération (AFNIC)

L'Association française pour le nommage Internet en coopération (AFNIC) est une association à but non lucratif, qui réunit toutes les parties prenantes au nommage. Son rôle est de gérer l'annuaire du registre .fr. Mais l'AFNIC est aussi un acteur de la gouvernance par le biais de la technique, et c'est sur ce dernier point que mon intervention peut éclairer le débat. Mon intervention sera donc axée sur le nommage, ce qui est une vision parcellaire; cela ne signifie pas que l'AFNIC se désintéresse des autres aspects de la gouvernance d'Internet, dont elle sait toute l'importance.

Le nommage est l'un des fondements des services de l'Internet, car c'est un support pour eux. Si l'on donne un nom de domaine, c'est que toute adresse IP est une adresse technique volatile. En revanche, le nom de domaine est stable et intelligible par tous. C'est pourquoi les entreprises l'utilisent très souvent dans leurs actions de marketing, si bien que cela a des implications sur la propriété intellectuelle des marques et en matière de concurrence. Le nom de domaine est donc une « couche supplémentaire » de l'Internet, visant à développer les services et à offrir une forme de portabilité. Quand on change de fournisseur d'accès, on change d'adresse électronique, contrainte qui peut restreindre la liberté de choix du fournisseur d'accès. Le nommage permet de s'abstraire de ces considérations.

Il s'appuie sur la norme DNS, c'est-à-dire sur les tables de base opérées par VeriSign, mais les décisions techniques sont du ressort de IANA, et, de ce fait, soumises à l'accord préalable du département du commerce américain. Ensuite, le système est distribué vers les serveurs racines, qui sont de tout petits serveurs ; c'est ce qui fait une partie de la robustesse du système. Il convient donc de porter sur le DNS une vision technique objective : c'est un système qui fonctionne bien et qui n'a jamais failli en dépit des attaques multiples dont il est l'objet.

Toutefois, le système présente des limites qui touchent à la gouvernance et qui vont sans doute conduire à la création de nouveaux systèmes d'identification. Le système actuel est d'un abord assez simple mais sans plus, puisqu'il faut quand même taper http://www... ; c'est pour pallier cet inconvénient que les moteurs de recherche ont été mis au point. Ensuite, le système utilise les caractères de l'alphabet latin, sans accents ni espaces, ce qui le situe très nettement dans le monde anglo-saxon. La question se pose alors du multilinguisme et de l'accès à l'Internet de toutes les populations du monde. La possibilité commence à émerger - mais pas sous l'impulsion d'ICANN - d'intégrer, par exemple, les caractères chinois et les accents français. Enfin, l'Internet est aujourd'hui axé sur le web et le courrier électronique, mais il le sera sans doute à l'avenir sur les communications entre machines et entre objets. Si les étiquettes RFID se généralisent, il faudra développer un système de nommage. C'est ce qui explique la création de l'Object Naming System (ONS), dont la gouvernance devra être au moins autant surveillée que celle du DNS aujourd'hui. Cela dit, à ce jour les moteurs de recherche s'appuient tous sur le DNS et l'on trouve malgré cela une solution pour le multilinguisme. J'appelle l'attention sur le fait que l'approche ONS consistera à créer un es