Allez au contenu, Allez à la navigation

L'Europe au secours de l'Internet : démocratiser la gouvernance de l'Internet en s'appuyant sur une ambition politique et industrielle européenne

8 juillet 2014 : L'Europe au secours de l'Internet : démocratiser la gouvernance de l'Internet en s'appuyant sur une ambition politique et industrielle européenne ( rapport d'information )

II. LE SÉISME SNOWDEN TRANSFORME LA GOUVERNANCE DE L'INTERNET EN ENJEU GÉOPOLITIQUE

Si les dirigeants politiques des grands pays de l'Union européenne semblent encore peu sensibilisés à ses enjeux stratégiques, la gouvernance de l'Internet est bien identifiée par les États-Unis comme un sujet diplomatique d'importance. M. François Delattre, ambassadeur de France aux États-Unis, a même indiqué à la délégation de votre mission qu'il a reçue à Washington que Mme Madeleine Albright, ancienne secrétaire d'État des États-Unis68(*), lui avait confié que ce sujet était « en haut de l'agenda diplomatique des États-Unis ».

A. LE SÉISME SNOWDEN REND IMPOSSIBLE LE STATU QUO D'UNE GOUVERNANCE AMÉRICAINE DE FAIT

Si les révélations d'Edward Snowden ne remettent pas directement en cause l'écosystème actuel de la gouvernance de l'Internet, leur effet politique a induit une perte de confiance globale dans l'Internet et dans les modalités de sa gouvernance. Le débat déjà ancien sur le rôle tenu par les États-Unis a pris un tour plus vif ces derniers mois.

1. Une gouvernance distribuée mais dominée de fait par les États-Unis

Aucune autorité centrale ne gouverne l'Internet aujourd'hui, ni aucune de ses couches réseau, transport ou application. En revanche, une pléthore d'enceintes participent à une forme d'autorégulation du réseau, qui répond bien au caractère décentralisé et distribué d'Internet. Comme le soulignent ses acteurs, cette gouvernance distribuée a fait la preuve de son efficacité puisque l'Internet n'a jamais été indisponible depuis quinze ans qu'existe l'ICANN : votre mission en convient, mais elle considère que la place qu'occupe l'Internet dans notre monde plaide pour aller au-delà d'une simple régulation technique, d'autant que les modalités techniques de ce fonctionnement ne sont pas, en fait, sans incidences politiques.

Diffuse, la gouvernance de l'Internet apparaît insaisissable. Sans doute la multiplicité des instances de gouvernance répond-elle à la complexité de la matière à gouverner, mais elle rend difficile toute vision d'ensemble. Ceci nourrit chez les États et les organisations internationales une forme d'insécurité sur leur capacité à trouver un espace où s'exerce la gouvernance de l'Internet.

a) Un foisonnement d'enceintes historiquement américaines qui, sous des dehors techniques, déterminent l'évolution de l'Internet

L'Internet se définit comme un réseau de réseaux qui utilisent un ensemble de protocoles communs TCP/IP (Transmission Control Protocol/ Internet Protocol). Les organisations qui produisent ces protocoles techniques ont spontanément assumé la « gouvernance du réseau » dès ses débuts. Il s'agissait de maintenir l'Internet en état de fonctionnement. Issu de l'univers informatique, le protocole TCP/IP s'est progressivement imposé face à d'autres protocoles issus du monde des télécoms et ses promoteurs ont déployé leur action en dehors de l'Union internationale des télécoms (UIT), agence des Nations unies chargée de la réglementation et de la planification des télécommunications, héritière de l'Union internationale du télégraphe créée en 186569(*).

Groupes de travail de l'Union internationale des télécommunications

Outre son secrétariat général et l'International Frequency Registration Board (IFRB), l'UIT est divisée en trois groupes de travail :

- l'UIT-T (CCITT, « Comité Consultatif International Téléphonique et Télégraphique », jusqu'en 1993) traite les questions techniques et de normalisation. À chaque catégorie de normes correspond une lettre de l'alphabet, la référence de la norme étant complétée d'un nombre. Les normes de la série V (Transmission de données par le réseau téléphonique), par exemple V.24 ou V.90, et de la série X (Réseaux informatiques et systèmes ouverts), par exemple X.25, X.400 ou X.500, sont plus particulièrement connues des utilisateurs ;

- l'UIT-R (CCIR, « Comité Consultatif International des Radiocommunications », jusqu'en 1993) traite les questions techniques et d'exploitation concernant les radiocommunications ;

- l'UIT-D (BDT, « Bureau de Développement des Télécommunications », jusqu'en 1993) s'attache à promouvoir l'accès aux télécommunications dans les pays en voie de développement.

Diverses applications ont été développées sur l'Internet : courrier électronique, messagerie instantanée, forums de discussion, transfert de fichiers, téléphonie... et surtout, depuis 1991, le web, qui permet d'explorer de manière graphique l'Internet via un système d'hyperliens. Le web a favorisé un développement rapide de l'Internet et a évolué dans les années 2000 vers le web 2.0, qui repose sur l'utilisation de techniques standards (langages, navigateurs...) offrant aux internautes de plus grandes possibilités d'interaction et de partage d'informations. On évoque aujourd'hui le web 3.0, conjonction de l'Internet des objets et du web sémantique, où l'information est qualifiée en amont pour faciliter son exploitation ultérieure et permettre de la retrouver plus aisément dans l'immensité du réseau.

On le voit, l'histoire de l'Internet, c'est avant tout l'histoire d'une technique, celle de protocoles et de standards qui ont été mis dans le domaine public et ont fait l'objet d'une forme d'autorégulation très peu institutionnalisée, correspondant à la nature distribuée du réseau.

Les développeurs de l'Internet, très liés aux universités américaines, forment une communauté soudée par des « valeurs » communes de partage des ressources, d'ouverture de l'accès et de méfiance à l'égard de toute implication des gouvernements. Comme l'a rappelé M. Jean-François Abramatic, ancien président du W3C (World Wide Web consortium) de 1996 à 2001, lors de son audition par votre mission, David D. Clark, le créateur du protocole IP, a bien résumé par ces mots l'état d'esprit des pionniers du web : « Nous refusons les rois, les présidents et les votes. Nous croyons au consensus approximatif et au code qui marche. »

Cette « communauté de l'Internet » anime plusieurs instances qui participent à la gestion de l'Internet, chacune pour un aspect spécifique, et fonctionnent de manière informelle, selon un processus ascendant (bottom up) et privilégiant le consensus.

S'agissant des normes et standards, la communauté des concepteurs et des chercheurs se réunit depuis 1986 au sein de l'Internet Engineering Task Force (IETF). Issue de l'Internet Architecture Board (IAB)70(*), cette task force sans personnalité morale produit par consensus des standards techniques ou spécifications de protocoles71(*), qui orientent l'architecture du réseau à long terme. Son secrétariat est à Fremont, en Californie. L'IETF est ouverte à toute personne qui souhaite y participer. Mais la représentation en son sein reflète naturellement l'intérêt des entreprises présentes ; les plus grandes entreprises de l'Internet étant américaines, elles y sont donc particulièrement influentes.

Les documents sont tous publics, et discutés publiquement ; de plus, un projet de spécification ne peut passer la première étape de validation que si deux « implémentations » ont été faites de façon indépendante. Cette méthodologie garantit d'être à l'état de l'art et assure l'efficacité des protocoles et la lisibilité des documents de référence. La prise de décision se fait par consensus, c'est-à-dire concrètement par humming : comme l'a expliqué à votre mission M. David Martinon, représentant spécial pour les négociations internationales concernant la société de l'information et l'économie numérique, le consensus est atteint quand toute objection raisonnable a été discutée et quand une approbation (hum) assez sonore est audible. À titre indicatif, l'IETF produit ainsi environ 250 appels à commentaires ou requests for comments (RFC) par an, dont la moitié sont des propositions de standards. Au bout d'un processus qui peut durer plusieurs années, deux à trois de ces propositions deviennent chaque année des standards aboutis ayant un caractère obligatoire72(*). M. Pierre-Jean Benghozi, membre du collège de l'ARCEP, a fait observer à votre mission les limites de cette autorégulation : non seulement l'IETF est concurrencée par d'autres institutions - comme l'Open Source initiative, association de développeurs libres, lors de l'élaboration de la norme Wifi -, mais elle donne également lieu à une « coopétition » pour définir des standards communs, les entreprises tentant de traduire ces standards dans leurs systèmes propriétaires pour se faire concurrence par le biais de brevets.

L'IETF est chapeautée (et financée) par l'Internet Society (ISOC), structure juridique fondée en 1992 par M. Vinton Cerf pour promouvoir le développement universel de l'Internet. L'ISOC est une association américaine de droit virginien - son siège est à Reston, aux États-Unis - qui a construit un réseau mondial, via des bureaux régionaux sur chaque continent et une centaine de chapitres nationaux. L'Internet Society regroupe dans ses chapitres de nombreux acteurs, personnes morales, associations et simples usagers : elle compte 65 000 membres. L'Internet Society gère l'extension « .org », dont elle tire une part de ses ressources, et participe aux activités de la communauté technique. C'est aussi le cas du W3C, dont elle assure une grande partie du financement, et de l'Internet Engineering Task Force (IETF), dont l'Internet Society assure la coordination et une partie du financement. Mais chaque chapitre doit trouver son propre financement, comme l'ont fait observer MM. Gérard Dantec, président du chapitre français de l'Internet Society, et Sébastien Bachollet, président d'honneur du même chapitre, lors de leur audition par votre mission. Selon M. David Fayon, son budget annuel, d'environ 6 millions de dollars en 2011, est couvert essentiellement par les cotisations et dons des organisations membres, les principaux donateurs étant de grandes entreprises américaines73(*) (Cisco, VeriSign, Google, Microsoft, Comcast), mais aussi le Département de la Défense américain.

En 1994, avec le soutien du Massachusetts Institute of Technology (MIT), mais aussi de la Commission européenne, fut créé le World Wide Web consortium (W3C), consortium plus spécifiquement dédié au web afin de conduire cette application à son plein potentiel en développant des protocoles et des lignes directrices. Selon M. Jean-François Abramatic, qui en fut le président de 1996 à 2001, M. Tim Berners-Lee, concepteur du web, a d'emblée voulu donner une dimension mondiale au consortium en y associant le MIT et le CERN, qui fut ensuite remplacé par l'INRIA puis par l'ERCIM pour représenter l'Europe74(*). Et en 1996, l'Université de Keio au Japon a été choisie comme hôte asiatique du W3C. Depuis, en 2013, l'Université de Beihang en Chine a intégré le conglomérat. Le W3C a également ouvert des bureaux régionaux de par le monde, qui concourent à son internationalisation. Il existe un tel bureau en France, porté par l'INRIA.

S'appuyant sur des experts techniques surtout américains, mais aussi japonais, chinois et européens - votre mission a pu rencontrer à Boston l'un de ses membres français, M. Philippe Le Hégaret -, le W3C adopte des standards ouverts (non propriétaires), comme par exemple le langage HTML5, contribuant à faire évoluer les normes du web pour assurer sa cohésion et son interopérabilité. Il travaille également à améliorer l'accessibilité du web aux personnes handicapées. Les décisions s'y prennent dans un souci de transparence et par consensus ; aux dires de M. Le Hégaret, l'autorité morale de M. Tim Berners-Lee permet de résoudre les éventuelles difficultés.

Conformément à la philosophie de l'Internet, toute personne ou organisation, privée ou publique, peut devenir membre si elle en accepte les conditions et si elle s'acquitte d'une cotisation, qui varie pour les entreprises en fonction du chiffre d'affaires mais qui est plafonnée. Le W3C compte aujourd'hui 384 membres75(*) qui lui apportent les deux tiers de ses revenus, le reste provenant de bourses de recherche ou de donations. Un comité consultatif réunit les représentants de ces membres (un par membre), et élit un conseil consultatif de dix membres, qui n'a aucun pouvoir décisionnaire mais dialogue avec l'équipe d'experts techniques. M. Le Hégaret a indiqué à votre délégation que la NSA elle-même avait été membre en titre du W3C il y a quelques années...

Comme l'a expliqué M. Le Hégaret - dont l'employeur direct est d'ailleurs le MIT - à votre délégation, le W3C n'a pas de personnalité morale. Ceci atteste bien du lien organique qui relie les instances de gouvernance technique du web et les acteurs américains de la recherche et de l'innovation, qui s'appuient sur les plus grandes universités de Boston.

b) L'ICANN, gestionnaire puissant des ressources critiques de l'Internet

À ces premiers cénacles « historiques », et face au développement de l'Internet et donc du nombre d'identifiants sur le réseau, le gouvernement américain a ajouté l'ICANN, en 199876(*). Aux termes de ses statuts, cette société de droit californien, dont le siège est à Los Angeles, a pour mission de « coordonner, à un niveau général, les systèmes mondiaux d'identificateurs uniques d'Internet et notamment d'en assurer la stabilité et la sécurité d'exploitation ». Ceci recouvre trois missions essentielles : coordonner et assurer la sécurité du système global d'identificateurs uniques permettant de se connecter sur l'Internet (noms de domaine, adresses IP pour identifier le destinataire, numéros des ports de protocole et des paramètres...) ; coordonner l'exploitation et l'évolution des serveurs racines du Domain Name System (DNS), qui sont au nombre de 13 (désignés par des lettres de A à M) ; coordonner le développement des politiques liées à ces fonctions techniques. 265 millions de noms de domaine sont aujourd'hui enregistrés, selon les informations transmises par l'INRIA à votre mission.

Le DNS comprend deux types de domaines, l'un générique, l'autre géographique : le premier correspond aux generic Top-Level Domain (gTLD) comme « .net », « .com », « .org », « .info »... ; le second repose sur les codes des entités géographiques, désignés comme country code Top-Level Domain (ccTLD), même si les 247 ccTLD ne couvrent pas seulement des États souverains.

Originellement, seules quelques centaines d'ordinateurs étaient connectées à l'Internet et leurs adresses pouvaient être stockées dans un fichier unique établissant la correspondance entre chaque machine et un numéro. Du fait du développement exponentiel du réseau, le DNS fut créé en 1983 et sa gestion donna lieu à une controverse dans le courant des années 1990. L'US National Science Foundation décida de privatiser cette activité et de la confier à la société américaine Network Solution Inc. La communauté de l'Internet contesta cette solution et, après quatre ans de négociations, le vice-président américain Al Gore décida la création de l'ICANN, organisation dédiée à la gestion des noms de domaine. Comme l'a fait observer à votre mission Mme Massit-Folléat lors de son audition, la Commission européenne valida la création de l'ICANN77(*), après avoir pesé pour une représentation des gouvernements en son sein.

L'ICANN assure la coordination globale du DNS ; elle attribue les gTLD et ccTLD et en assure la maintenance technique et administrative. Comme l'a fait observer l'INRIA à votre mission, la structure hiérarchique du nommage DNS crée une pseudo sémantique pouvant laisser penser que les sites dont l'extension est « .fr » sont établis en France, ou que ceux en « .com » relèvent de sociétés commerciales, ce qui peut être trompeur : en effet, une machine sous « .fr » peut être située n'importe où sur la planète, de même qu'il peut y avoir, sur le territoire français, des machines rattachées à pratiquement n'importe quel TLD.

L'ICANN attribue d'autorité des blocs d'adresses IP et numéros de systèmes autonomes aux cinq registres Internet régionaux (RIR) : un pour l'Amérique du Nord, un pour la zone Asie-Pacifique, un pour l'Amérique du Sud et les Caraïbes, un pour l'Europe et le Moyen-Orient et un pour l'Afrique. Chaque système autonome regroupe des réseaux IP possédant une politique de routage propre et indépendant, l'interconnexion de ces 45 000 systèmes autonomes constituant Internet. Ensuite, les RIR, qui sont parfaitement indépendants de l'ICANN, allouent les adresses IP aux registres nationaux (NIR) et locaux (LIR) ; les registres Internet locaux attribuent alors les adresses IP aux fournisseurs d'accès à Internet (FAI) qui assignent à leur tour les adresses IP aux utilisateurs finaux, les internautes.

L'Association française pour le nommage Internet en coopération (AFNIC)

Conformément aux articles L. 45 à L. 45-7 du code des postes et des communications électroniques, le ministre en charge des communications électroniques désigne les opérateurs des domaines correspondant aux codes pays du territoire national ou d'une partie de celui-ci : « .fr », « .re » (Réunion), « .mq » (Martinique), « .pm » (Saint-Pierre-et-Miquelon)..., après consultations publiques et appels à candidature. Un décret pris en Conseil d'État précise les pouvoirs de cet office d'enregistrement et ses obligations. Une convention entre l'État et l'office d'enregistrement vient compléter ce dispositif.

L'Association française pour le nommage Internet en coopération (AFNIC), lauréat de l'appel à candidatures pour la gestion du « .fr », est une association « loi 1901 » qui opère dans un univers concurrentiel. Son organisation est multipartite depuis sa création, l'INRIA et l'État étant autour de la table du conseil d'administration, lequel comprend des représentants du secteur public, du secteur privé et des utilisateurs. On relève que les pouvoirs publics représentent la moitié du conseil d'administration, à parité avec l'ensemble des autres acteurs.

Les décisions opérationnelles sont prises dans ce cadre multipartite, dans le respect de la loi française. L'AFNIC bénéficie d'une certaine autonomie vis-à-vis de l'ICANN, avec laquelle elle a seulement procédé à un échange de lettres d'intention. Aucun texte juridique international n'attribue explicitement le domaine Internet « .fr » à la France.

Lors de son audition par votre mission, M. Mathieu Weill, directeur général de l'AFNIC, a indiqué que celle-ci, comme ses homologues dans d'autres États, était sous le régime de « trustees », c'est-à-dire de dépositaires de la confiance des parties prenantes de chacun de leurs pays pour gérer des ressources communes dans l'intérêt général. En France, a été reconnu comme une mission de service public le développement du « .fr », qui comprend environ 2,5 millions noms de domaine78(*), face au « .com » qui demeure leader, y compris en France. Or le fait d'être enregistré en « .com » donne un point d'appui à la juridiction américaine.

Sur le plan technique, l'AFNIC gère un parc de serveurs dans le monde pour assurer la continuité de service du « .fr » et l'aiguillage des noms de domaine vers les serveurs sur lesquels ils sont hébergés.

Parallèlement, elle gère une base de données enregistrée en France que M. Weill a présentée comme l'une des plus protectrices au monde car, contrairement au « .com », les données des personnes privées enregistrées en « .fr » ne sont pas publiées. Elles ne sont communiquées qu'aux autorités françaises, uniquement sur la base d'un fondement légal, et aux ayant-droits, s'ils apportent la preuve que le nom de domaine constitue une atteinte à leur propre droit.

Le point fondamental de la mission de l'AFNIC est donc d'apporter un service sûr et stable, de soutenir l'innovation sur l'Internet et d'accompagner les acteurs français de l'écosystème national.

L'AFNIC et ses homologues européens se coordonnent au sein du Council of European National Top Level Domain Registries (CENTR).

Les serveurs racines ou serveurs de noms de domaine possèdent un répertoire officiel qui leur permet de répondre aux requêtes des internautes en traduisant les noms de domaine (ou URL) en adresses IP exploitables par un ordinateur. Dix sur les treize serveurs racine se situent aux États-Unis79(*). Cette répartition géographique s'explique par des raisons principalement historiques et doit être nuancée dans la mesure où chacun de ces serveurs est dupliqué plusieurs dizaines de fois à travers le monde afin d'assurer la stabilité et la résilience du réseau.

Serveur, serveur de nom et serveur racine : définitions

Serveur

Un serveur est un ordinateur de grandes capacités (puissance processeur, mémoire, disques durs) relié au réseau et ayant pour vocation de fournir un ou plusieurs services tels que, la messagerie, les noms de domaine, l'attribution d' adresses IP, l'accès à des répertoires de fichiers... Ces services sont « consommés » par d'autres ordinateurs ayant un accès direct par un réseau local ou indirect, par un extranet ou Internet, et qui agissent en tant que clients.

Serveur DNS ou serveur de nom

Serveur utilisé pour héberger les logiciels et les données nécessaires à la mise en correspondance des adresses IP et des noms de domaines pour les ordinateurs sous son autorité et les ressources Internet. Un serveur DNS remplit deux fonctions principales :

-- traduire en adresse IP le nom des serveurs dans son périmètre d'autorité

-- transmettre la demande à un serveur DNS ayant autorité dans le cas contraire

Il existe trois catégories de serveurs DNS, primaires, secondaires et récursifs.

Serveur racine ou serveur de noms de la racine

Le serveur racine est un serveur DNS qui répond aux requêtes qui concernent les noms de domaine de premier niveau (top-level domain, TLD) et qui les redirige vers le serveur DNS de premier niveau concerné. C'est le point de départ de l'arborescence hiérarchique des noms de domaines.

Serveur primaire

L'un des trois rôles particuliers affectés à un serveur DNS.

Un serveur est dit primaire d'une zone quand il obtient les informations de cette zone dans un fichier de configuration. Ce dernier fichier est écrit par un administrateur.

Le serveur primaire est « autoritaire » sur la zone.

Serveur secondaire

L'un des trois rôles particuliers affectés à un serveur DNS.

Un serveur est dit secondaire d'une zone quand il obtient toutes les informations de cette zone d'un autre serveur dit serveur primaire. Il télécharge le contenu de la zone régulièrement afin de pouvoir prendre le relai du serveur primaire en cas d'incident. Le serveur secondaire est « autoritaire » sur la zone.

Serveur récursif

L'un des trois rôles particuliers affectés à un serveur DNS

Un serveur DNS récursif a pour mission d'explorer de façon récursive la hiérarchie des serveurs DNS lorsqu'il ne parvient pas à trouver le serveur DNS primaire faisant autorité pour le nom de domaine recherché.

Source : d'après l'AFNIC

Source : ICANN

SERVEUR

OPÉRATEURS

PAYS

A

VeriSign, Inc.

États-Unis

B

Information Sciences Institute (ISI)

Université de Californie du Sud

États-Unis

C

Cogent Communications

États-Unis

D

Université du Maryland

États-Unis

E

NASA)

États-Unis

F

Internet Systems Consortium, Inc.

États-Unis

G

US Department of Defense

États-Unis

H

US Army Research Lab

États-Unis

I

Netnod (anciennement Autonomica)

Suède

J

VeriSign, Inc.

États-Unis

K

RIPE NCC

Pays-Bas

L

ICANN

États-Unis

M

WIDE Project

Japon

Source : http://www.root-servers.org et David Fayon
 
Géopolitique d'Internet - Qui gouverne le monde ?, Ed. Economica 2013.

L'attribution des noms de domaine se fait selon la règle du « premier demandeur, seul servi ». Comme le souligne M. David Fayon dans son livre, « cette règle n'est pas sans rappeler la conquête de l'Ouest (et le phénomène du cybersquatting d'adresses de sites qui pourraient présenter un intérêt dans le but de les revendre par la suite) où le pionnier délimitait le territoire conquis ». Il arrive que des conflits surviennent entre cybersquatteurs et sociétés détentrices de marque : ils peuvent être résolus par l'arbitrage ou une procédure judiciaire.

Une industrie du nom de domaine s'est donc créée progressivement. Certains réservent des noms de domaine dans le but d'en tirer profit ultérieurement.

L'ICANN elle-même en récolte directement le fruit : elle ne vend pas une fois pour toutes les noms de domaine, mais en cède l'exploitation à raison d'un certain montant auquel s'ajoute une forme d'abonnement annuel, ce qui lui assure un revenu régulier, et en croissance.

En effet, le nombre de noms de domaine génériques, qui était inférieur à 100 en 2012, va prochainement s'étendre sensiblement et atteindre le millier : l'ICANN a en effet décidé l'ouverture de nouveaux noms de domaine génériques, au côté des « .com », « .org », « .net » et, plus récemment du « .xxx », extension pornographique qui fait polémique dans certains pays. De nouvelles extensions vont ainsi apparaître, de type économique (« .eco », « .apple », « .music »...), géographique (« .quebec », « .london », « .paris »...) ou linguistique (« .bzh », « .scot »...). Ces nouvelles extensions pourront se faire en recourant aux accents et à des caractères non latins. Le coût d'entrée est de 185 000 dollars par extension, auquel s'ajoutent 25 000 dollars de frais annuels. La procédure d'attribution a abouti fin 201280(*) et a rapporté à l'ICANN 357 millions de dollars cette même année, venant en surplus des 80 millions de dollars de budget de l'ICANN81(*). Certaines extensions pourraient être mises aux enchères quand l'arbitrage n'est pas possible entre deux prétendants, ce qui devrait également être profitable à l'ICANN. Les sociétés obtenant des droits sur certaines extensions pourront toutefois percevoir ensuite des commissions annuelles des sociétés gérant des noms de domaine se terminant par ces extensions, ce qui devrait modifier l'économie des noms de domaine. Le référencement par les moteurs de recherche devra par ailleurs s'adapter à ces nouvelles extensions.

L'ICANN détient de fait un pouvoir important car le système des noms de domaine est la seule partie de l'Internet qui n'est pas décentralisée et car elle coordonne le système des serveurs racine, qui est au coeur du fonctionnement de l'Internet. Il faut aussi souligner le rôle que joue également la société américaine VeriSign, elle aussi sous contrat avec le Département du commerce américain : elle gère la racine de l'annuaire (serveur A qui a autorité sur les autres serveurs racine, en ce sens que les modifications apportées au serveur A sont répliquées sur les 12 autres), ainsi qu'un autre serveur racine (J), et publie les nouveaux noms de domaine ; elle gère également le registre officiel pour les domaines de premier niveau génériques « .com » et « .net » , le « .org » étant géré par l'ISOC, ce qui assure un financement important à VeriSign comme à l'ISOC.

La gestion des noms de domaine n'est pas une simple activité technique : elle emporte des conséquences importantes, à la fois politiques et économiques.

Ainsi, on ne peut pas dire que l'ICANN, en assignant un nom de domaine géographique, décide si une entité géographique est un pays. Mais il est certain que posséder un ccTLD peut représenter un premier pas vers l'indépendance : le Québec a obtenu le « .qc » et la Catalogne a créé en 2006 le « .cat ». Même si elle utilise sur une liste de codes ISO s'appuyant sur les Nations unies82(*), la décision de l'ICANN a ici une dimension politique indéniable.

À l'inverse, l'ICANN est en position de priver un pays de l'usage de son extension. C'est ce qui s'est passé durant la guerre en Irak, le « .iq » ayant été coupé à la demande des États-Unis.

Concernant les noms de domaine génériques, il apparaît également que l'ouverture de certaines extensions a des implications en termes de contenus véhiculés sur le réseau : c'est ce qui explique la controverse à laquelle a donné lieu l'ouverture de sites pour adultes en « .xxx ».

Les nouvelles extensions de noms de domaine ont également de très fortes implications économiques, non seulement pour les entreprises connectées mais aussi, de manière collatérale, pour les activités qui ne s'exercent pas en ligne et qui peuvent subir une concurrence déloyale de la part de contrefacteurs en ligne. À cet égard, l'ouverture des « .vin » et « .wine » est de nature à gravement compromettre l'activité des viticulteurs européens et suscite de fortes tensions entre l'Union européenne et l'ICANN : des sociétés de l'industrie de l'Internet tentent en effet de capter à leur profit la notoriété et l'image d'une partie du patrimoine national et européen, au mépris notamment des règles de droit qui régissent la propriété intellectuelle, notamment les indications géographiques.

Les projets d'extensions « .vin » et « .wine »

Le débat portant sur les extensions « .vin » et « .wine » est lié à l'ouverture des noms de domaine de premier niveau générique. Face à la saturation de la vingtaine existants (« .com », « .org », « .net » ...), l'Internet Corporation for Assigned Names and Numbers (ICANN), qui est chargée de les gérer, a lancé en juin 2011 un programme destiné à en accroître substantiellement le nombre - aux alentours d'un millier - et à en déléguer la gestion à des opérateurs privés. Les nouvelles règles en la matière permettront à ces derniers de demander auprès de l'ICANN de se voir attribuer n'importe quel suffixe, comme « .avocat », « .sport » ou les « .vin » et « .wine » litigieux.

L'attribution de ces extensions par l'ICANN sera précédée de l'analyse d'un dossier décrivant les capacités techniques du futur gestionnaire. Le coût de son dépôt avait été fixé à 185 000 dollars, et celui de la conservation du nom de domaine à 25 000 dollars par an. Un système d'enchères départagera les postulants demandant un suffixe identique.

Avec les nouvelles règles, l'achat d'un nom de domaine de premier niveau par un opérateur lui donnera également la propriété de tous les noms de domaine de second niveau liés à celui-ci83(*). Par exemple, l'acquisition de l'extension « .vin » permettrait de se voir attribuer les noms de domaine www.bourgogne.vin ou www.champagne.vin, et de les conserver ou de les revendre à des tiers.

Sur les 2 000 dossiers déposés à l'ICANN pour ouvrir de nouveaux noms de domaine de premier niveau, quatre sont directement liés au secteur du vin. Trois sociétés (respectivement américaine, irlandaise et de Gibraltar) ont demandé l'extension « .wine », et une quatrième (américaine) a demandé l'extension « .vin ». Or, leurs dossiers ne contiennent aucune protection des indications géographiques associées au secteur, et les sociétés ont annoncé qu'elles procèderaient à une vente aux enchères des noms de domaine de second degré associés.

Il résulte de l'ouverture non encadrée de ces extensions des risques, tant pour les professionnels que pour les consommateurs, qui ont été rapidement pointés par la Confédération nationale des producteurs de vins et eaux-de-vie de vin à appellations d'origine contrôlée (CNAOC) : détournement de notoriété des appellations, cybersquatting, spéculation, développement de la contrefaçon, tromperie du consommateur...

Concrètement, en effet, des sociétés commerciales pourraient être tentées de s'attribuer les noms de domaine www.bordeaux.vin et www.bordeaux.wine, par exemple, contraignant ensuite le Conseil interprofessionnel du vin de Bordeaux à les leur racheter au prix qu'elles auront fixé. Par ailleurs, l'internaute français surfant sur le site www.bordeaux.vin et croyant y trouver une information officielle sur les vins de la région pourrait être redirigé vers le site d'une société commerciale qui pourrait n'avoir même aucun rapport avec le secteur du vin.

D'influence américaine, le système d'enregistrement des noms de domaine mis en oeuvre par l'ICANN prévoit certes des garde-fous pour les marques, mais aucune protection pour les appellations géographiques. Spécifiquement français à l'origine et limité au secteur du vin, ce dernier régime de protection a été ensuite élargi à l'ensemble de l'Union européenne et à tous les secteurs agricoles. Il marque donc une différence quasi philosophique d'approche avec les États-Unis, attachés non pas à l'origine des produits mais à leur licence d'exploitation, divergence que l'on retrouve d'ailleurs dans les négociations en cours sur un accord transatlantique.

Certes, l'accord sur les aspects des droits de propriété intellectuelle qui touchent au commerce (ADPIC)84(*), entré en vigueur le 1er janvier 1995 et constituant le traité le plus complet en matière de propriété intellectuelle, protège les indications géographiques, y compris les appellations d'origine. Aussi la France a sollicité de l'Organisation mondiale du commerce, dans le cadre duquel il a été négocié et conclu, son application. Cependant, ce traité ne couvre pas les noms de domaine, ce qui soulève d'ailleurs la question d'une inégalité de traitement entre commerce et e-commerce, ou entre offline et online.

La CNAOC et la Fédération européenne regroupant ses homologues des autres États membres (EFOW) sont intervenues auprès de leurs gouvernements respectifs en leur demandant de déclencher une « alerte », mécanisme prévu par l'ICANN pour signaler les difficultés posées par un dossier. Elles ont par ailleurs saisi les trois commissaires européens en charge de la société numérique, de l'agriculture et du marché intérieur (respectivement Mme Neelie Kroes, M. Dacian Ciolos et M. Michel Barnier) pour leur demander d'intervenir auprès de l'ICANN. Mme Kroes a alors écrit à deux reprises à la société américaine pour soulever les problèmes posés.

La France s'est rapidement investie dans le ce dossier, et a cherché à sensibiliser les instances européennes compétentes des risques qu'il faisait peser sur la filière vin, mais aussi, plus largement, sur toutes les appellations d'origine. S'adressant à la Commission européenne, le ministre de l'agriculture, M. Stéphane Le Foll, a fait de la reconnaissance et de la protection de celles-ci « une priorité pour la France », tout comme « la mise en place d'une procédure visant la protection des indications géographiques ». Il a depuis été rejoint par le ministre des affaires étrangères, M. Laurent Fabius, mais aussi par la secrétaire d'État chargée du numérique, Mme Axelle Lemaire.

Le comité consultatif gouvernemental (GAC) de l'ICANN, sur l'insistance notamment de la France, du Luxembourg, de l'Espagne - particulièrement mobilisée - et de la Commission européenne, a émis de façon consensuelle des réserves sur l'attribution des extensions « .vin » et « .wine » en avril 2013, et demandé à ce qu'un réel dialogue s'instaure. Dans un nouvel avis de juillet de la même année, il donnait 30 jours aux sociétés candidates et au secteur pour trouver une solution, qui ne s'est pas fait jour. Enfin, en novembre, il proposait au bureau de l'ICANN de porter une extrême attention à la complexité juridique et politique constituant l'arrière-plan du dossier.

Le 22 mars dernier, et de façon assez inattendue, le comité responsable de l'ouverture de nouveaux noms de domaine gTLD (le NGPC) se prononçait en faveur d'une délégation sans condition des « .vin » et « .wine ». Le 4 avril, l'ICANN décidait une nouvelle fois de reporter de 60 jours (donc d'ici le 3 juin) sa décision quant à cette attribution aux sociétés candidates, afin de trouver une solution satisfaisante avec le secteur du vin. Son nouveau président, M. Fadi Chehadé, s'est engagé à ce qu'il n'y ait pas de délégation sans accord à ce terme. Auditionné fin février par la mission commune d'information, ce dernier avait estimé que « ce n'[était] pas au conseil d'administration de l'ICANN de trancher », indiquant qu'il avait « invité toutes les parties dans [son] bureau » et s'efforçait de « faciliter les discussions entre elles en créant un espace de dialogue ».

Dans la foulée, des recours contre l'ICANN étaient déposés par la Commission européenne, les gouvernements français, espagnol et anglais, la CNAOC, l'EFOW, le CIVC, le CIVB et le bureau national interprofessionnel de Cognac (BNIC). Ils demandent un système de vérification des appellations d'origine obligatoire pour toute commercialisation d'extensions de sites Internet, et assurent qu'ils soutiendront et promouvront les « .vin » et « .wine » dès lors qu'un tel régime sera établi. À défaut, ils menacent d'organiser une grande campagne de boycott de ces noms de domaine et de demander leur blocage sur le territoire de l'Union européenne.

Si l'Union européenne a été rejointe dans son combat par les pays producteurs de vin d'Amérique latine et par les États francophones, formant un groupe de 34 pays, elle doit composer avec la forte pression exercée par les États-Unis sur le dossier. Réunis avec deux autres pays (Australie et Nouvelle-Zélande) dans un groupe plaidant pour une ouverture générale des noms de domaine de premier niveau, ils exercent une très forte influence sur les sociétés candidates et ont écrit à l'ICANN pour lui demander de procéder immédiatement à la délégation des extensions litigieuses.

Le 3 juin, date-limite fixée par l'ICANN pour obtenir un accord, les trois candidats au « .wine » et le secteur n'ont pas réussi à s'entendre. Selon les représentants de la CNAOC, ceci est à mettre au compte de l'influence américaine sur ces trois opérateurs. Ceux-ci entendraient réaliser d'ici peu une enchère entre eux, vraisemblablement remportée par une société américaine refusant de protéger les indications géographiques et souhaitant vendre aux enchères tous les noms, y compris d'AOC.

Les gouvernements n'ayant pas réussi non plus à trouver un consensus lors de la dernière réunion de l'organisation du 22 au 26 juin à Londres, il n'y a plus d'obstacle désormais à une délégation des noms de domaine en « .vin » et « .wine ». Cela malgré la mobilisation très forte de la France, par la voix de la secrétaire d'État en charge de l'économie numérique, Mme Axelle Lemaire - soutenue par l'Espagne, l'Italie, le Portugal et la Commission européenne -, qui demandait la suspension de leur attribution.

La CNAOC a annoncé qu'elle engagerait une vaste campagne visant à dissuader les vignerons d'acheter des noms de domaine en « .vin » et « .wine », et les consommateurs de se rendre sur ces sites. Souhaitant élargir le débat à d'autres secteurs également concernés, la confédération entend par ailleurs demander aux gouvernements de mettre en place des plateformes pour identifier les sites qui seront en infraction avec la réglementation communautaire et de prévoir des mesures pour les neutraliser.

L'Italie, qui assurera la présidence du Conseil de l'Union le 1er juillet, s'est engagée à considérer la question comme de la plus haute importance au cours du prochain semestre, et s'est déclarée déterminée à prendre une initiative forte en la matière.

Ce dossier illustre combien des décisions de caractère apparemment technique prises par les organes de gouvernance de l'Internet peuvent avoir des implications non seulement économiques mais culturelles et sociétales, en un mot politiques. Sans doute aussi la maîtrise du répertoire des adresses et noms offre-t-elle des facilités en matière de renseignement : M. Milton Mueller, professeur à l'université de Syracuse que la délégation de votre mission a pu rencontrer aux États-Unis, a indiqué que les noms de domaine étaient utilisés par le gouvernement américain pour des motifs de vérification de l'identité des personnes enregistrées, d'application de la loi, notamment en matière de droits d'auteur, voire de surveillance85(*).

c) L'ICANN, objet juridique non identifié qui prospère sous le seul contrôle des États-Unis

Dotée donc de pouvoirs aux implications considérables, l'ICANN reste pourtant un objet juridique non identifié.

L'ICANN se définit comme une société à but non lucratif d'intérêt public (« not-for-profit public-benefit corporation ») de droit californien ; au titre de ce statut hybride, elle n'a ni actionnaires ni associés.

Son lien avec le gouvernement américain est double :

- une déclaration d'engagements, dite Affirmation of committments (AoC), signée avec le Département du commerce américain en 200986(*) ;

- un contrat par lequel le Département du commerce confie à l'ICANN les fonctions assumées avant 1998 par l'IANA (Internet Assigned Number Authority) sous la responsabilité de son fondateur Jon Postel : attribuer les noms de domaine de premier niveau (donc gérer la racine), attribuer les adresses IP et les numéros de systèmes autonomes (ASN) aux registres Internet régionaux, et définir les paramètres des protocoles Internet (liste des numéros de ports...) en collaboration avec l'IETF.

L'infographie ci-dessous, élaborée par l'ICANN, permet de mieux visualiser ces fonctions de l'IANA.

L'ICANN est dirigée par un conseil d'administration (board) qui prend les décisions et qui comprend 20 membres, dont le président
- M. Fadi Chehadé en ce moment - sélectionné par le board. Ces membres sont, pour les uns, des représentants des organisations de soutien de l'ICANN : deux membres pour celle en charge des noms de domaine génériques (Generic Names Supporting Organization - GNSO87(*)), deux pour celle en charge des noms de domaine géographiques (Country Code Names Supporting Organization - ccNSO), et deux pour celle représentant les cinq registres Internet régionaux qui gèrent les adresses IP (Address Supporting Organization - ASO). Depuis 2001, siège aussi au board un représentant de l'ensemble des parties prenantes (comité « At-Large », représentant plus de 160 structures de diverses origines géographiques88(*)).

Les critères de nomination de ces directeurs membres du board sont précisés dans les statuts de l'ICANN (Bylaws), dont un extrait est reproduit ci-dessous : ils privilégient la compétence technique, l'intégrité, l'objectivité, l'intelligence, le jugement, l'ouverture d'esprit et la capacité à décider en groupe. L'exercice de la fonction de directeur se faisait à titre bénévole, elle donne désormais lieu à défraiement ; seul le président de l'ICANN est officiellement rémunéré.

Critères pour la sélection des directeurs de l'ICANN

Les directeurs de l'ICANN doivent être :

1. des personnes réputées pour leur intégrité, objectivité et intelligence, ainsi que pour leur bon jugement, ouverture d'esprit et leur capacité confirmée dans la prise de décision au sein d'un groupe ;

2. des personnes ayant intégré la mission de l'ICANN, l'impact potentiel de ses décisions sur l'ensemble de la communauté Internet, et prêtes à s'engager en faveur de la réussite de l'ICANN ;

3. des personnes qui formeront la plus large diversité culturelle et géographique au Conseil d'administration, conformément aux autres critères soulignés dans cette section ;

4. des personnes, qui, dans l'ensemble, sont familières avec le fonctionnement des registres et bureaux d'enregistrement de gTLD ; avec les registres de ccTLD ; avec les registres d'adresses IP ; avec les normes et protocoles techniques de l'Internet ; avec les procédures d'élaboration de politiques, les coutumes juridiques et l'intérêt public ; avec la grande variété d'utilisateurs commerciaux, individuels, académiques et non-commerciaux de l'Internet ;

5. des personnes désireuses d'agir de manière bénévole, sans autre compensation que le remboursement de certains frais ; et

6. des personnes capables de travailler et de communiquer en anglais à l'écrit et à l'oral.

Source : Statuts de l'ICANN (article VI - section 3)

En outre, huit membres dotés du droit de vote sont directement sélectionnés par le Comité de nomination de l'ICANN, lequel se compose de membres non votants, désignés par le board ou les comités consultatifs de l'ICANN, et de membres votants, désignés par des parties prenantes participant à l'ICANN. Il est paradoxal que le comité de sélection de membres du board soit lui-même composé de membres nommés par ce même board ! Le détail de la composition de ce comité de sélection est précisé ci-dessous, dans un extrait des statuts de l'ICANN. On remarquera que le chapitre des entreprises (Business constituency) se distingue par son privilège consistant à pouvoir nommer deux membres à ce comité ; selon les informations fournies par M. Philippe Lemoine, lors de son audition par votre mission, ce chapitre représentant les entreprises compte 53 multinationales, dont 40 américaines qui ne lésinent pas sur les moyens de lobbying.

Composition du Comité de nomination de l'ICANN

Le comité de nomination se compose des personnes suivantes :

1. un président sans droit de vote, nommé par le conseil d'administration de l'ICANN ;

2. un président élu sans droit de vote, nommé par le conseil d'administration de l'ICANN en tant que conseiller sans droit de vote ;

3. un agent de liaison sans droit de vote nommé par le comité consultatif du système de serveurs racine établi par l'Article XI de ces statuts ;

4. un agent de liaison sans droit de vote nommé par le comité consultatif pour la sécurité et la stabilité établi par l'article XI de ces statuts ;

5. un agent de liaison sans droit de vote nommé par le comité consultatif gouvernemental ;

6. sous réserve des dispositions de l'article de transition de ces statuts, cinq délégués dotés d'un droit de vote, sélectionnés par le comité consultatif At-Large établi par l'article XI de ces statuts ;

7. les délégués dotés d'un droit de vote du Comité de nomination seront sélectionnés par l'Organisation de soutien aux politiques des noms génériques suivant ce qui est établi dans l'article X de ces statuts ;

a. un délégué du groupe multipartite des registres ;

b. un délégué du groupe multipartite des bureaux d'enregistrement ;

c. deux délégués du regroupement des utilisateurs commerciaux d'Internet, l'un représentant les utilisateurs commerciaux et l'autre représentant les grandes entreprises ;

d. un délégué du collège regroupant les fournisseurs de services Internet ;

e. un délégué du regroupement de la propriété intellectuelle ; et

f. un délégué des groups des consommateurs et de la société civile, sélectionnés par le regroupement des utilisateurs non commerciaux.

8. un délégué doté d'un droit de vote sélectionné par les entités suivantes :

a. le Conseil de l'Organisation de soutien aux politiques des noms de pays (CCNSO), établie par l'article IX de ces statuts ;

b. le conseil des organisations de soutien aux politiques d'adressage établi par l'article VIII de ces statuts ;

c. le groupe de travail de l'ingénierie Internet ; et

d. le groupe de liaison technique de l'ICANN, établi par l'article XI-A de ces statuts ; et

9. un président adjoint sans droit de vote, qui peut être nommé par le président, à sa seule discrétion, pour exercer sa fonction pendant une partie ou tout le mandat du président. Le président adjoint ne peut pas être une personne autrement membre du même comité de nomination. Le président adjoint assiste le président dans l'exercice de sa fonction, mais n'agit en aucun cas, temporairement ou autre, à sa place.

Source : statuts de l'ICANN (article VII - section 2).

Outre ces 16 membres - incluant le président - qui ont le droit de vote, quatre siègent au board sans droit de vote : un représentant de l'IETF et trois membres qui assurent la liaison avec les trois comités consultatifs que sont le Root Server System Advisory Committee (RSSAC), le Security and Stability Advisory Committee (SSAC) et le Governmental Advisory Committee (GAC).

L'ICANN défend une approche inclusive qui traite le secteur public, le secteur privé et les experts techniques comme des pairs. Son organisation lui paraît illustrer ce modèle multi-parties prenantes (multistakeholders) :

Les États participent à l'ICANN puisqu'ils sont représentés par le biais du Govermental Advisory Committee, le GAC, au sein duquel siègent aujourd'hui près de 140 pays, et notamment l'Union européenne. Mais ce comité est purement consultatif, quand d'autres parties prenantes sont dotées, elles, d'un droit de vote au sein du board de l'ICANN. Car, même si l'esprit de l'Internet refuse les procédures de vote, le board de l'ICANN fonctionne malgré tout de manière assez formelle, avec 16 membres dotés d'un droit de vote et 4 autres qui en sont privés.

La composition du board fonctionne largement par cooptation, comme l'a dénoncé devant votre mission M. Louis Pouzin : « ce sont pratiquement ceux qui en sortent qui décident de ceux qui y entrent ! Ce sont les mêmes têtes qui tournent entre l'ICANN, l'Internet Society (ISOC), et les différents comités qui gravitent plus ou moins autour - ceux qui gèrent les noms de domaine, les protocoles, ... Il s'agit de la génération qui a suivi les pionniers. ». Me Iteanu, avocat à la Cour d'appel de Paris et président d'honneur de l'Internet Society France, passé de l'ISOC à l'ICANN, l'a confirmé à demi-mot.

Il a aussi pointé du doigt les intérêts privés qui sont présents au sein de l'ICANN : « quand j'étais au comité de l'ICANN, je pouvais connaître à la seconde le cours de bourse de Cisco.... Les entreprises américaines ont pénétré l'ICANN. »

En effet, le board n'est pas à l'abri des conflits d'intérêt, les procédures mises en place par l'ICANN pour l'éviter n'étant pas assez strictes : ce board est censé valider un certain nombre de décisions prises par les organisations de support qui traitent de la préparation des décisions politiques de l'ICANN. Or, le board de l'ICANN est constitué de personnes qui viennent de ces communautés. M. David Martinon a donné à votre mission l'exemple suivant : « Le GNSO, par exemple, est une instance qui a vocation à représenter toutes les personnes impliquées dans le business model des noms de domaine. On retrouve donc forcément au board un certain nombre de personnes qui dirigent des sociétés, ou qui bénéficient d'investissements de sociétés qui présentent des projets jugés par le board. »

Même s'il est possible de contester les décisions du board, le système de recours reste très insatisfaisant. Un médiateur réputé neutre - ombudsman -, mais nommé par le board, règle les différends, en cas de plainte d'un membre de la communauté ICANN au sujet d'une mesure ou d'une absence de mesure émanant d'un membre du personnel, des organes ou du board. Les statuts89(*) prévoient une procédure plus largement ouverte à toute personne ou entité touchée par une action ou inaction de l'ICANN : il est possible de demander un réexamen de cette action ou inaction ; mais ce réexamen est confié à un comité du board composé d'au moins trois de ses membres ! Selon M. David Martinon, sur les 70 ou 80 demandes déposées, une seule a été acceptée, ce qu'il interprète ainsi : « on peut en tirer deux conclusions : soit le board de l'ICANN travaille merveilleusement bien et sans défaut, soit il n'a pas envie d'être redevable, ni de reconnaître ses erreurs ! » La possibilité d'une révision indépendante des actions du conseil d'administration est toutefois prévue : en ce cas, la révision est confiée à un panel de révision indépendant ne comprenant aucun membre de l'ICANN. Mais cette solution d'arbitrage international est très coûteuse (500 000 dollars d'après les informations transmises par M. David Martinon à votre mission) et les frais sont aux dépens du perdant, ce qui peut faire hésiter un pays déjà endetté ou, plus encore s'il est en développement, à déposer une plainte. C'est sans doute pourquoi cette solution du panel n'est pour l'heure pas très rodée : M. Martinon a indiqué à votre mission qu'il y en avait eu trois récemment, et que l'ICANN n'avait pas correctement travaillé, ayant été prise de cours et mise en contradiction face à ses propres règles.

Par ailleurs, le fonctionnement de l'ICANN apparaît globalement opaque. Conformément à la déclaration d'engagements signée avec le Département du commerce américain, l'ICANN affiche pourtant des pratiques transparentes : chacun est invité à participer, des forums en ligne sont organisés, des réunions publiques se tiennent régulièrement, les décisions du board sont accessibles et le suivi de leur mise en oeuvre est ouvertement assuré. Mais, comme l'a souligné devant votre mission Me Iteanu, le foisonnement des documents, la multiplicité d'acronymes et la technicité des sujets rendent en fait son action largement opaque pour l'internaute non expert.

On peut aussi s'interroger sur la redevabilité (accountability) de l'ICANN, qui figure aussi parmi les engagements pris en 2009 avec le Département du commerce américain.

Éclairages sur la notion de « redevabilité »

Traduction encore maladroite du terme anglophone accountability, le mot « redevabilité » demeure pour beaucoup un terme flou du débat international. (...) Il est donc nécessaire de mieux comprendre les difficultés de traduction qui entourent le terme anglo-saxon accountability (...). En français (et dans bien d'autres langues), l'emploi du terme de « redevabilité » pour traduire l'accountability est le résultat d'un espace laissé en partie vide entre deux expressions avec lesquelles il est souvent confondu, mais qui ne suffisent pas à elles seules à assurer une traduction pertinente :

- le premier terme (...) est : « responsabilité ». C'est bien souvent ce terme qui traduit aujourd'hui, à la fois en français, en suédois, et dans plusieurs autres langues européennes, l'accountability anglo-saxonne. La « responsabilité » renvoie à l'idée de l'engagement d'un acteur vis-à-vis d'une partie prenante extérieure. Pourtant, le terme de « redevabilité » se distingue de la seule « responsabilité » en y ajoutant une exigence supplémentaire : celle de donner à voir que la responsabilité a été assumée et que les engagements ont été tenus (Wenar, 2006). La redevabilité peut ainsi se définir comme étant l'obligation de rendre compte de l'exercice d'une responsabilité ;

- le deuxième terme qui encadre la notion de redevabilité est celui de « reddition de comptes », qui sert lui aussi parfois de traduction au terme accountability. (...) Cependant, cette notion renvoie généralement à l'idée d'une redevabilité limitée à une dimension très restreinte de l'action engagée - avant tout financière - ne donnant généralement pas à voir l'ensemble des engagements qui définissent la responsabilité d'un acteur.

Le terme de redevabilité, aujourd'hui largement appliqué au domaine du développement, navigue donc entre un concept très large de « responsabilité », outil de réflexion avant tout utile à la science politique et peinant à trouver une traduction opérationnelle, et une expression plus opérationnelle de reddition de compte, trop restreinte à un type spécifique d'information.

En dehors du simple enjeu de traduction, il est également utile de poser quelques principes qui permettent de définir la redevabilité par ce qu'elle n'est pas.

La « redevabilité » ne se décrète pas seule : elle naît d'une relation avec un acteur extérieur.

La redevabilité se distingue en effet du simple exercice de « transparence » : la transparence est avant tout conçue comme un « état », consistant à rendre publiques les informations relatives à l'organisation, la stratégie, l'action et les résultats d'un organisme public ou privé. La redevabilité, quant à elle, implique nécessairement une relation dynamique avec une partie prenante extérieure et n'a de sens qu'en réponse à une demande. Elle ne peut donc se concevoir qu'à travers l'identification du type d'acteurs auprès duquel nous sommes redevables. Le détour par la langue suédoise est à ce titre intéressant. Elle distingue aujourd'hui deux traductions du terme de redevabilité, l'une définissant l'agent devant être redevable (ansvarsskyldighet), l'autre définissant l'agent exigeant cette redevabilité (ansvarsutkrävande), montrant bien ainsi l'existence nécessaire d'une relation entre une « offre » et une « demande » de redevabilité. Par ailleurs, contrairement à la notion de transparence, la redevabilité implique que le partenaire ait les moyens de sanctionner, de manière formelle ou informelle, directe ou indirecte, la mauvaise orientation des stratégies ou l'absence de résultats des actions. (...)

La redevabilité n'est pas ponctuelle ou sélective : elle suppose des outils systématisés d'information et de dialogue.

La redevabilité se distingue d'un simple exercice de « communication » qui sélectionnerait, parmi les informations existantes au sein de l'agence, les actions et les résultats permettant de justifier son action et de renforcer l'adhésion de ses partenaires. La redevabilité implique une systématisation dans la production de l'information et des canaux qui permettent de la diffuser. Elle entraîne donc la mise en place d'un système normé permettant des flux réguliers d'information, sans sélectivité dans le type de résultats présentés, et donnant à voir une certaine exhaustivité des informations produites. (...) Si le renforcement de la redevabilité se distingue d'une pure démarche de communication par la systématisation et la perte de pouvoir sur l'information qu'elle suppose, ces deux démarches visent chacune à renforcer la légitimité des politiques (...).

Source : d'après « Le défi de la « redevabilité » des agences de développement », note méthodologique n°4, Agence française de développement, septembre 2010.

(c) AFD 2010

Les engagements de l'ICANN en termes de redevabilité sont formulés dans l'extrait de l'Affirmation of commitments, reproduit ci-dessous.

Extrait de l'Affirmation of commitments signé en 2009 entre l'ICANN
et le Département du commerce américain, relatif à la redevabilité
et à la transparence de l'ICANN

Assurer la responsabilité, la transparence et les intérêts des utilisateurs mondiaux d'Internet :

L'ICANN s'engage à maintenir et à améliorer des dispositifs solides en faveur de la contribution du public, de la responsabilité et de la transparence de sorte à assurer que les résultats de ses prises de décisions reflètent l'intérêt public et soient responsables devant toutes les parties prenantes en :

(a) évaluant et améliorant continuellement la gouvernance du conseil d'administration de l'ICANN (Conseil d'administration). Ceci comprend l'évaluation continue de la performance du Conseil d'administration, du processus de sélection du Conseil d'administration, de la mesure dans laquelle la composition du Conseil d'administration satisfait les besoins présents et futurs de l'ICANN, et la considération d'une procédure d'appel concernant les décisions du Conseil d'administration ;

(b) évaluant le rôle et l'efficacité du GAC et son interaction avec le Conseil d'administration et en faisant des recommandations d'amélioration afin de garantir une prise en considération réelle par l'ICANN de la contribution du GAC sur les aspects de politique publique de la coordination technique du DNS ;

(c) évaluant et améliorant continuellement les processus par lesquels l'ICANN recueille les contributions du public (y compris l'explication adéquate des décisions prises et de leur logique) ;

(d) évaluant continuellement la mesure dans laquelle les décisions de l'ICANN sont adoptées, soutenues et acceptées par le public et la communauté d'Internet ; et en

(e) évaluant le processus d'élaboration de politiques pour faciliter les délibérations renforcées au sein de la communauté et l'élaboration de politiques opportunes et efficaces. L'ICANN organisera une révision de son exécution des engagements ci-dessus au moins tous les trois ans, la première révision de la sorte devant être terminée au plus tard le 31 décembre 2010. La révision sera réalisée par des membres bénévoles de la communauté et l'équipe de révision sera constituée et sa composition publiée pour solliciter les commentaires du public. Elle comprendra les membres suivants (ou leurs candidats désignés) : le président du GAC, le président du Conseil d'administration de l'ICANN, le secrétaire adjoint pour les communications et l'informatique du Département du commerce, des représentants des comités consultatifs et organisations de soutien de l'ICANN pertinents et des experts indépendants. Le président du GAC (en consultation avec les membres du GAC) et le président du Conseil d'administration de l'ICANN conviendront conjointement de la composition de l'équipe de révision. Les recommandations qui résulteront des révisions seront fournies au Conseil d'administration et publiées en ligne pour la sollicitation de commentaires du public. Le Conseil d'administration prendra des mesures dans les six mois à compter de la réception des recommandations. Chacune des révisions susdites doit examiner la mesure dans laquelle les évaluations et les actions entreprises par l'ICANN ont réussi à assurer que l'ICANN agit de manière transparente, est responsable de sa prise de décisions et agit dans l'intérêt public. Les appréciations de la mesure dans laquelle le Conseil d'administration et le personnel ont mis en oeuvre les recommandations émanant des autres révisions d'engagement énumérées ci-dessous feront partie intégrale des révisions susdites.

La mise en oeuvre de ces engagements en matière de transparence et de redevabilité est prévue tous les trois ans et supervisée par une équipe formée de volontaires dont la composition est validée par le président du board de l'ICANN et le représentant du GAC à ce board. Ce système de redevabilité en circuit fermé, le board gardant la main sur sa propre évaluation, assure peut-être une redevabilité de l'ICANN devant la communauté de l'Internet qui la compose, mais assurément pas à l'égard des États et des 3 milliards d'internautes.

Ce n'est finalement que devant les États-Unis que l'ICANN doit rendre des comptes. Mme Anne-Thilda Norodom, professeur à l'université de Rouen, a notamment fait valoir que l'ICANN devait se soumettre à des auditions devant le Congrès américain. Globalement, l'ICANN reste donc sous la férule américaine. Même si certaines personnes non américaines, y compris des Français, ont pu y prendre des responsabilités importantes, ces personnes sont toutes acculturées sur le mode anglo-saxon, soit par les liens culturels anciens qu'entretient leur pays d'origine avec les États-Unis, soit par leurs propres expériences académiques ou professionnelles.

2. Une domination américaine de plus en plus contestée : de la création de l'Internet Governance Forum à la fracture de Dubaï

Cette domination américaine sur la gouvernance de l'Internet a fait l'objet d'une contestation croissante.

Par la voix de son président, l'ICANN a fait valoir à votre mission que les États-Unis, en assurant le rôle de superviseur ultime de l'Internet, avaient en fait joué un rôle de pourvoyeur de confiance ou de « garant », pour reprendre les mots de M. Fadi Chehadé : « En quinze ans, le Département du commerce américain n'a pas refusé une seule fois son accord, pas plus qu'il n'a exigé de prendre une mesure quelconque qui n'aurait pas été décidée par la communauté, comme par exemple de retirer la Syrie de la racine... Les Américains n'ont pas exercé un contrôle, ils se sont contentés d'être les garants de l'ICANN. »

a) La création de l'Internet Governance Forum, lieu de débat inédit, onusien mais non interétatique, sur la gouvernance Internet

Depuis le début des années 2000, à la faveur du succès croissant rencontré par le web, les États ont porté une attention plus grande à l'Internet et à sa gouvernance aussi bien à l'UIT, à l'Organisation mondiale de la propriété intellectuelle (OMPI), à l'UNESCO, à l'Organisation pour la coopération économique et le développement (OCDE) qu'au Conseil de l'Europe ; parallèlement, les acteurs privés plaidaient pour un Internet plus régulé, ce qui a donné lieu à l'adoption de législations nationales sur le commerce en ligne ou sur les droits d'auteur et à des procès.

C'est à Genève en 2003 que fut prise par le secrétaire général de l'ONU la décision d'établir un groupe de travail sur la gouvernance de l'Internet (GTGI). Ce groupe, composé de représentants des gouvernements, du secteur privé et de la société civile, a préparé le Sommet mondial sur la société de l'information (SMSI). Ce SMSI s'est tenu à Tunis et a réuni non seulement les États mais aussi le secteur privé, la société civile et d'autres organisations internationales. Sans parvenir à un consensus, ce forum mondial, institué par l'UIT, agence des Nations unies, s'est conclu en 2005, au terme d'une négociation difficile, par une déclaration de compromis, entre ceux qui plaidaient pour que l'Internet soit gouverné par une entité intergouvernementale et ceux qui s'opposaient à tout changement au régime centré sur l'ICANN.

L'Union européenne a participé activement à ce forum onusien réunissant des États et s'y est distinguée par une double particularité, d'une part, en raison de sa nature non étatique, et d'autre part, en raison de sa double représentation, le Parlement européen y accompagnant la Commission européenne. Consciente de la nécessité d'ajustements au système de gouvernance de l'Internet mais convaincue de la nécessaire complémentarité entre les différents acteurs de ce système, l'Union européenne, alors sous présidence britannique, a pris une part active à la rédaction du texte de compromis, qui reprend plusieurs de ses propositions les plus saillantes, même s'il ignore les propositions européennes de rééquilibrage dans la gestion des ressources critiques de l'Internet (noms, numéros et adresses). MM. Laurent Sorbier et Bernard Benhamou, qui ont participé à la négociation, le premier comme conseiller au cabinet de M. Jean-Pierre Raffarin, alors Premier ministre, le second en tant que « sherpa » pour la France, ont rappelé à votre mission cette contribution active de l'Union européenne qui transparaît dans la déclaration finale du sommet de Tunis.

Ainsi, cet Agenda de Tunis90(*) consacre l'Internet comme « ressource publique mondiale » et juge que « sa gouvernance devrait constituer l'une des priorités essentielles de la société de l'information. La gestion internationale de l'Internet devrait s'opérer de façon multilatérale, transparente et démocratique, avec la pleine participation des États, du secteur privé, de la société civile et des organisations internationales. Elle devrait assurer une répartition équitable des ressources, faciliter l'accès de tous et garantir le fonctionnement stable et sécurisé de l'Internet, dans le respect du multilinguisme. »

En outre, les États signataires de l'Agenda de Tunis insistent sur la nécessité d'une coopération renforcée, qui reconnaît aux gouvernements une responsabilité politique - quoique non technique - sans dénier le rôle des autres parties prenantes dans le processus de décision : « Nous reconnaissons la nécessité de renforcer la coopération afin de permettre aux gouvernements de s'acquitter, sur un pied d'égalité, de leurs rôles et responsabilités en ce qui concerne les questions de politiques publiques internationales concernant l'Internet, mais pas les questions techniques et opérationnelles courantes qui n'ont pas d'incidence sur les questions de politiques publiques internationales. Faisant appel aux organisations internationales compétentes, une telle coopération devrait comprendre l'élaboration de principes applicables à l'échelle mondiale aux questions de politiques publiques ainsi que la coordination et la gestion des ressources fondamentales de l'Internet. À cet égard, nous exhortons les organisations chargées des tâches essentielles liées à l'Internet à favoriser la création d'un environnement qui facilite l'élaboration de ces principes91(*).»

L'Agenda de Tunis a enfin donné mandat au secrétaire général des Nations unies pour établir un forum multi-parties prenantes pour poursuivre le dialogue politique sur la gouvernance de l'Internet et faire des propositions au secrétaire général des Nations unies. Le Forum de la Gouvernance Internet (FGI) est donc un lieu de débat inédit, onusien mais pourtant non interétatique, sur la gouvernance d'Internet. Il obéit à trois principes : ouverture, multilatéralisme et transparence. En réunissant les gouvernements, les entreprises de l'Internet, la communauté technique et la société civile, le FGI évite les écueils de sommets où cette dernière doit, pour se faire entendre, organiser des sommets parallèles. Son organe central est le groupe consultatif multi-parties prenantes, Multistakeholder Advisory Group (MAG), composé de 46 représentants des secteurs public et privé et de la société civile.

La première réunion du FGI a eu lieu en octobre 2006 à Athènes. Plusieurs réunions mondiales ont suivi, rassemblant jusqu'à plusieurs milliers de personnes (Rio de Janeiro en 2007, Hyderabad en 2008, Sharm El Sheikh en 2009, Vilnius en 2010, Nairobi en 2011, Bakou en 2012, Bali en 2013...), et des déclinaisons régionales (EuroDIG92(*) pour l'Europe) et nationales du forum ont vu le jour. Un premier FGI France s'est d'ailleurs tenu le 10 mars 2014 dans les locaux du Conseil économique, social et environnemental (CESE) ; même si son organisation a pu prêter le flanc à certaines critiques, il a rendu plus visible l'implication de la France dans le dialogue mondial en cours sur la gouvernance de l'Internet. Le prochain FGI mondial est prévu pour se tenir à Istanbul en octobre 2014.

Purement consultatif, le FGI peut seulement émettre des recommandations. Son champ d'analyse dépasse la seule gestion des noms de domaine et couvre aussi bien les sujets de gouvernance sur l'Internet, comme la protection de l'enfance, la protection des données personnelles et la lutte contre la cybercriminalité, que la réduction de la fracture numérique mondiale.

À ce titre, le FGI constitue un embryon de gouvernance mondiale et multi-parties prenantes de l'Internet. Son efficacité reste toutefois très limitée. Comme l'a souligné Mme Nathalie Chiche, membre du Conseil économique, social et environnemental, rapporteure de l'étude Internet : pour une gouvernance ouverte et équitable (janvier 2014), auteur d'un rapport du CESE sur la gouvernance de l'Internet93(*), auditionnée par votre mission, « cette formule ne me paraît finalement pas très efficace pour interagir sur l'écosystème que constitue Internet, alors qu'elle me paraissait pouvoir faire office de troisième voie, entre l'autorégulation et le contrôle d'Internet ». Le FGI permet en effet l'expression de nombreux points de vue mais, à son terme, les questions soulevées restent entières. Évoquant devant votre mission son expérience des longs tours de table, M. Philippe Boillat, directeur général des droits de l'Homme et de l'État de droit du Conseil de l'Europe, s'interroge sur les suites à donner une fois que chacun a eu tout loisir d'exposer ses idées dans ce type d'enceinte : « And so what ? Et maintenant, que fait-on ? ».

Si bien que la structure inédite du FGI affiche aujourd'hui un bilan plutôt médiocre, même si la 65ème assemblée générale des Nations unies a décidé en 2010 sa reconduction jusqu'en 2015. La commission sur la science et la technologie pour le développement (CSTD) du Conseil économique et social des Nations unies a mis en place un groupe de travail multi-parties prenantes sur la coopération renforcée (Working group on enhanced cooperation - WGEC), afin d'identifier un modèle approprié de gouvernance de l'Internet, dans la perspective du SMSI+10 prévu en 2015. Lors de son audition par votre mission le 3 juin 2014, Mme Axelle Lemaire a déploré que les conclusions de ce groupe de travail, annoncées pour mars 2014, ne soient toujours pas connues.

Le FGI se trouve d'ailleurs concurrencé par une multitude d'événements traitant de la gouvernance de l'Internet, comme le montre le schéma ci-après. Si bien que M. Julien Nocetti, chercheur à l'Institut français des relations internationales (IFRI), a pu plaider devant votre mission pour une « gouvernance de la gouvernance de l'Internet ».

b) Une confrontation entre deux blocs révélée à Dubaï : vers une guerre froide numérique pour la gouvernance de l'Internet ?

La succession des IGF mondiaux n'a donc pas suffi à désamorcer la pression politique croissante sur la gouvernance de l'Internet, qui augmentait à mesure du développement du réseau et de ses conséquences pour les États.

Sans doute les États-Unis ont-ils « lâché un peu de lest » en 2009, lors de la renégociation des termes du contrat qui les lient à l'ICANN : en substituant l'Affirmation of commitments au Memorandum of understanding qui leur garantissait depuis 1998 le contrôle du processus de décision interne à l'ICANN, ils offraient à cette dernière une perspective d'autonomisation et accordaient ainsi une concession amorçant à peine leur retrait de la gouvernance de l'Internet.

Mais, durant les années qui ont suivi le SMSI de Tunis, l'opposition entre les tenants d'une gouvernance multipartenariale et les partisans de l'intergouvernemental a continué de constituer la toile de fond du débat. L'Europe penchait plutôt pour la première option, quand la Chine, la Russie, l'Iran et l'Arabie Saoudite préféraient la seconde, et que les pays émergents, le Brésil ou l'Inde, hésitaient entre les deux.

M. Jean-Michel Hubert, ancien président de l'Autorité de régulation des télécommunications, ancien président délégué du comité stratégique pour le numérique, qui a suivi de près les négociations internationales sur l'Internet pour avoir dirigé de 2003 à 2006 la délégation française au SMSI, a également évoqué devant votre mission la tenue de l'e-G8 à Deauville en mai 2011 : il a en effet été le « sherpa » numérique pour la France alors que notre pays présidait le G8 et avait obtenu, non sans difficulté, d'y inscrire l'Internet à l'ordre du jour. La déclaration du G8 sur l'Internet énumère très bien les enjeux attachés au développement de l'Internet, « moyen unique d'information et d'éducation » pour les citoyens, « outil essentiel et irremplaçable du développement de l'activité » des entreprises, « levier majeur pour l'économie mondiale, la croissance et l'innovation » - ainsi que les enjeux liés à la protection des données, à la sécurité, au droit d'auteur ou encore à la gouvernance. Les dirigeants des sept pays démocratiques les plus industrialisés94(*) et de la Russie, présents à Deauville, se sont entendus sur le « rôle des gouvernements dans un essor équilibré d'Internet, aux côtés des utilisateurs et du secteur privé », apportant ainsi leur appui au modèle multi-acteurs de gouvernance, tout en appelant les États à coopérer davantage.

À cette guerre de tranchées qui a donné lieu à des échanges feutrés entre 2005 et 2010, a fini par succéder une guerre de mouvement, comme l'a analysé devant votre mission Mme Catherine Trautmann, députée au Parlement européen et ancienne ministre de la culture et de la communication.

Le travail de la commission science et technologie au service du développement de l'ONU a ainsi débouché sur une résolution de l'Assemblée générale appelant à une coopération renforcée, comme l'avait fait l'Agenda de Tunis, mais dans le sens, cette fois, d'une tentative de contrepoids au « multistakeholderism » où, parmi les parties prenantes, le privé compte davantage que le gouvernemental.

C'est à l'occasion de la conférence organisée par l'UIT à Dubaï en décembre 2012 que l'opposition s'est cristallisée entre les tenants d'une reprise en main étatique de la gouvernance de l'Internet, suspectée de conduire à plus de surveillance, de contrôle et de censure, et les tenants du « multistakeholderism ». Durant cette conférence qui visait à renégocier le règlement international des télécommunications rendu obsolète par les avancées technologiques et le développement de l'Internet, une résolution non contraignante annexée à l'accord final invitait l'UIT à prendre un rôle plus important dans la gouvernance mondiale de l'Internet.

La Chine, la Russie et les Émirats arabes unis ont exigé l'internationalisation de la gouvernance et la reconnaissance du « droit souverain et égal de chaque État à réguler ses télécommunications », ce qui a conduit aux divergences lors des négociations sur le nouveau règlement des télécommunications internationales (RTI). Contestant la mainmise américaine sur la gestion de la racine des noms de domaine, ces États sont parvenus à inscrire dans une résolution95(*) annexée à la version révisée du RTI que « tous les gouvernements devraient avoir égalité de rôle et de responsabilité dans la gouvernance internationale de l'Internet », reprenant ainsi une formule proche de celle retenue par le SMSI en 2005. L'article 1er du traité adopté par 89 pays le 14 décembre 2012 proclame également le droit souverain de chaque État de réglementer ses télécommunications. 55 « nonistes » (parmi lesquels les États-Unis, la France, le Royaume-Uni, le Canada ou l'Australie) ont refusé de signer le document. Certains ont vu dans ce schisme intervenu à Dubaï entre deux blocs d'États le début d'une guerre froide numérique (digital cold war) dans la gouvernance de l'Internet, expression reprise en 2013 par Mme Neelie Kroes dans un de ses discours.

UN processes (GA/ECOSOC/CSTD)

World Summit on the Information Society (WSIS) processes

International Telecommunication Union (ITU) processes

Internet Governance Forum (IGF) processes

Governance of Internet's technical resources (ICANN, IETF, ...)

Processus des Nations unies :

- Assemblée générale des Nations unies (UNGA)

- Conseil économique et Social (ECOSOC)

- Commission pour la science et le développement technologique (CSTD)

- Groupe de travail sur la coopération renforcée (WGEC)

Processus du Sommet mondial sur la société de l'information (SMSI) :

Plateforme préparatoire multi-parties prenantes pour le 10ème anniversaire du SMSI (MPP)

Processus de l'Union internationale des télécommunications (UIT) :

- Conférence mondiale pour le développement des télécommunications (WTDC) et réunions régionales préparatoires (WTDC RPMs)

- Forum mondial pour les politiques de télécommunications et de TIC (WTPF)

- Groupes de travail du Conseil (CWG) :

· pour les questions internationales de politiques publiques en matière Internet (CWG-Internet)

· sur la mise en oeuvre des conclusions du SMSI (CWG-WSIS)

- Groupe consultatif pour le développement des télécommunications (TDAG)

Processus du Forum sur la gouvernance de l'Internet (FGI) :

- Groupe consultatif multi-parties prenantes (MAG)

- FGI régionaux :

Afrique (AflGF),

Arabie (Arab IGF),

Asie Pacifique (AprlGF), Europe (EuroDig), Amérique latine et Caraïbes (LACIGF), Afrique du Sud (SAIGF), Afrique de l'Ouest (West Africa IGF)

- Société pour l'attribution des noms de domaine et des numéros sur Internet (ICANN)

- Groupe de travail d'ingénierie de l'Internet (IETF)

Autres : Commission mondiale sur la gouvernance de l'Internet (GCIG) ; Coalition pour la liberté en ligne (FOC)

Sans doute l'Europe n'a-t-elle pas été la plus audible à cette conférence de Dubaï. Son infériorité numérique notoire y a certainement contribué : M. Julien Nocetti a fait observer à votre mission que, face aux 120 représentants américains présents à Dubaï, se trouvaient seulement six Allemands et quatre Français. Par ailleurs, comme l'a remarqué M. Weill lors de son audition, le discours européen est trop ciblé sur l'acquis communautaire et sans marge de négociation suffisante. Surtout, l'Europe est inaudible car la Haute représentante de l'Union pour les affaires étrangères et la politique de sécurité, en charge de la diplomatie européenne, ne s'exprime pas sur ce sujet. Et pour cause : aucun mandat ne lui a été donné, ce qui fait le jeu du camp américain.

Pourtant, votre mission partage l'analyse qu'a faite Mme Pauline Türk lors de son audition : on peut penser que cette confrontation ouverte « pourrait bénéficier sur le plan politique à l'Union européenne, si elle parvient à se positionner en arbitre, entre des États soucieux de leur souveraineté numérique mais prompts à la restriction et à censure, et les États-Unis, désireux de défendre leur maîtrise de l'outil, mais au moins autant de protéger les principes et valeurs libérales du réseau ». En effet, de nombreux pays, dont beaucoup en développement, sont légitimement désireux d'accroître leur influence sur la gouvernance de l'Internet sans pour autant vouloir censurer ou surveiller les flux sur le réseau. Et le refus américain de toute reprise en main des États sur cette gouvernance apparaît largement hypocrite au regard de leur propre mainmise sur l'ICANN, l'une des institutions centrales de ladite gouvernance.

c) L'Union européenne peine à faire valoir une troisième voie

L'Union européenne ne doit pas se faire enfermer dans la rhétorique de la guerre froide numérique, qui pourrait laisser croire au caractère profondément hétérogène - voire irréconciliable - des deux tendances qui se sont révélées à Dubaï96(*).

Mais sa parole en matière de gouvernance de l'Internet reste peu audible, souffrant d'être seulement portée par la direction générale compétente de la Commission européenne, la DG Connect, sans être assumée dans son ensemble par le Conseil, dont l'approche de l'Internet a été tardive et se focalise essentiellement sur la dimension de cybersécurité.

La délégation de votre mission qui s'est rendue à Bruxelles a pu le mesurer : la participation de l'Union européenne au sein du GAC de l'ICANN est légitimement assurée par cette direction générale. C'est donc naturellement la Commission qui a créé et mène le groupe de haut niveau dédié à la gouvernance de l'Internet (High level group on Internet governance - HLGIG), enceinte de débats entre experts nationaux au sein duquel siège pour la France M. David Martinon. Parallèlement, depuis novembre 2012, le Conseil mène des travaux centrés sur la cybersécurité au sein d'un groupe stratégique ad hoc, dit « des amis de la présidence ». Il réunit les ambassadeurs chargés des affaires de sécurité, mais y participent aussi pour la France le secrétaire général adjoint du ministère des affaires étrangères, et également M. Martinon. Percevant les enjeux stratégiques en cause derrière ces questions d'apparence technique, le Conseil européen, dans ses conclusions de décembre 2013, a mandaté le Service européen d'action extérieure (SEAE), en collaboration avec la Commission européenne et avec l'Agence européenne de Défense, pour une mission d'un an afin d'améliorer les capacités européennes de cyberdéfense. Cette mission jette un pont entre la Commission et le SEAE sur les dossiers cyber, mais sous l'angle sécurité et défense, sans amorcer une véritable diplomatie européenne de la gouvernance de l'Internet.

Cette lacune est apparue à votre délégation lors de son entretien à Bruxelles avec M. Maciej Popowski, secrétaire général adjoint du SEAE, et avec Mme Linda Corugedo Steneberg, de la DG Connect de la Commission européenne. Le premier a certes indiqué que les conclusions du Conseil affaires générales de juin 2013 avaient plaidé pour une approche multi-parties prenantes de la gouvernance de l'Internet, mais il a semblé peu armé pour construire une proposition d'amélioration de ce système multi-acteurs. S'il reconnaît que les questions de gouvernance de l'Internet ont des implications politiques, le SEAE - doté sur ces questions de seulement trois personnes à temps plein - porte prioritairement ses efforts sur la cyberdéfense européenne et le développement des capacités cyber des pays tiers, au titre des instruments pour la paix et la stabilité.

Active au sein de l'ICANN, mais aussi au sein du FGI97(*), la Commission européenne a paru, pour sa part, plus engagée dans le débat entre les deux approches cristallisées à Dubaï et résumées en ces termes par Mme Corugedo Steneberg : « multistakeholderism versus top-down ». À travers plusieurs communications98(*), la Commission a mis en avant les principes de l'Internet, conformément à l'action 97 identifiée par Mme Neelie Kroes dans l'Agenda numérique pour l'Europe, que votre rapporteure a déjà présenté dans son rapport99(*) sur la gouvernance européenne du numérique, écrit en 2013 au nom de la commission des affaires européennes du Sénat.

S'inspirant de l'Agenda de Tunis, la Commission européenne défend une vision de l'Internet qu'elle résume par l'acronyme COMPACT, désignant l'Internet comme un espace civiquement responsable, unifié, régi par une approche multipartenaire, promouvant la démocratie et les droits de l'homme, à l'architecture fiable et reposant sur une gouvernance transparente : « The vision of the European Commission is summarised in the COMPACT concept : the Internet as a space of Civic responsibilities, One unfragmented resource governed via a Multistakeholder approach to Promote democracy and Human Rights, based on a sound technological Architecture that engenders Confidence and facilitates a Transparent governance both of the underlying Internet infrastructure and of the services which run on top of it »100(*).

Mais Mme Corugedo Steneberg a observé que ces principes, quoiqu'ayant reçu le soutien des États membres, n'ont jamais fait l'objet d'un vote. La Commission invite donc le Conseil et le Parlement européen à établir un ensemble cohérent de principes applicables à la gouvernance de l'Internet.

La Commission est aussi particulièrement engagée auprès des États membres dans la défense des intérêts européens menacés par l'ouverture des « .vin » et « .wine ». Mais votre mission déplore que le seul interlocuteur au Conseil pour la DG Connect soit le groupe Télécoms du Conseil101(*), ce qui ampute de fait les discussions sur la gouvernance de leur dimension géopolitique et stratégique.

Votre mission n'ignore pas qu'une importante difficulté pour élaborer une position politique de l'Union sur les questions de gouvernance de l'Internet est la règle de l'unanimité, qui prévaut en matière de politique étrangère et de sécurité commune.

L'étude comparative sur la gouvernance de l'Internet à laquelle elle a fait procéder dans neuf États emblématiques de la diversité de l'Union européenne102(*) - annexée au présent rapport - atteste des divergences de sensibilités qui existent, notamment entre des pays très alignés sur les États-Unis et souvent les plus innovants en matière numérique - Royaume-Uni, Suède, Pays-Bas, Estonie - et certains autres, comme l'Italie, qui semblent encore peu mobilisés sur le sujet, ou d'autres encore dont la position semble assez confuse, comme l'Allemagne où une délégation de votre mission s'est rendue début mars. Toutefois, certains États membres expriment clairement leur préoccupation à l'égard du faible poids de l'Europe dans la gouvernance mondiale de l'Internet et sont convaincus de la nécessité pour l'Union européenne d'adopter une stratégie commune et offensive : ainsi, dans un document qu'elle a transmis au groupe télécoms du Conseil en février dernier, la Belgique juge nécessaire de « renforcer la coopération au niveau européen, voire de porter cette discussion au niveau du Conseil des ministres afin de permettre l'adoption de principes communs aux États membres ». De même, l'Espagne semble de plus en plus mobilisée : le Sénat espagnol a d'ailleurs organisé, le 16 mai dernier, une journée sur la gouvernance de l'Internet. La Pologne, également, estime qu'il s'agit d'une question d'importance croissante et mène actuellement une large consultation interne sur ce sujet ; elle soulève notamment la question du rôle des gouvernements dans la définition des standards techniques. Peu d'États membres ont donc pris des initiatives politiques concernant le rôle de l'Union européenne dans la gouvernance mondiale de l'Internet.

Mais l'Union européenne n'est-elle pas bien placée, voire attendue par certains pays en développement, pour explorer une troisième voie fondée sur une approche véritablement inclusive de la gouvernance d'un Internet bâti sur des valeurs démocratiques ?

Les États-Unis eux-mêmes ont laissé peu d'espace politique à une telle approche, assimilant tous ceux qui interrogeaient le statu quo à des ennemis de la liberté et camouflant ainsi les intérêts géopolitiques, économiques, militaires et culturels des parties prenantes qui défendent ce modèle. Mais les révélations d'Edward Snowden distillées à partir de juin 2013 sont venues déplacer les lignes.

D'ailleurs, en février 2014, la Commission européenne s'est elle-même proposée comme « médiateur » dans les futures négociations mondiales sur la gouvernance de l'Internet103(*), proposition à laquelle certains États membres sont encore hostiles, comme l'atteste explicitement la réponse provenant du Royaume-Uni aux questions adressées par votre mission.

3. Le séisme Snowden en 2013 rend impossible le statu quo

Un an après les premières révélations publiées le 6 juin 2013 par le quotidien britannique The Guardian, les informations divulguées par M. Edward Snowden continuent à alimenter la chronique journalistique et diplomatique. Aussi les travaux menés par votre mission d'information ont été l'occasion de mesurer auprès des personnes auditionnées l'ampleur de la crise de confiance engendrée dans l'économie numérique par la surveillance généralisée mise en oeuvre par certains États et la perméabilité des données personnelles détenues par les grands opérateurs de réseaux télécom ou de services Internet.

D'emblée, ce sujet a été inscrit au coeur des préoccupations de la mission, votre rapporteure estimant que « l'affaire Prism a démontré que la gestion de l'Internet sous domination américaine ne pouvait durer en l'état »104(*). La question qui se pose est la suivante : l'affaire Snowden et les discussions actuelles offrent-elles une opportunité de rééquilibrage des forces en présence ?

a) Un épicentre nord-américain, une onde de choc planétaire qui n'épargne pas l'Europe

Un point sur l'origine de cette affaire et ses développements successifs apparaît nécessaire pour mieux mesurer le choc provoqué dans la communauté du renseignement et parmi les acteurs du net. Les révélations sur les pratiques de la National Security Agency (NSA) ont donc été mises en lumières par Edward Snowden, jeune informaticien alors âgé de 29 ans et ancien employé de la CIA puis d'un prestataire privé de la NSA en qualité d'administrateur système. Les motivations exprimées à l'appui de la communication à la presse d'une très importante documentation électronique105(*) révèle le profond désaccord moral d'un employé avec les tâches dont il a eu à connaître : « je ne peux, en mon âme et conscience, laisser le gouvernement américain détruire la vie privée, la liberté sur Internet et les libertés essentielles pour les gens tout autour du monde avec ce système énorme de surveillance qu'il est en train de bâtir secrètement106(*) ».

De fait, la surveillance de masse dénoncée par Edward Snowden couvre un spectre très large d'activités allant des « classiques » données téléphoniques à la consultation des serveurs de grands groupes Internet ainsi que le déchiffrement des échanges électroniques à une très large échelle ainsi que le décrit l'encadré ci-dessous.

Les principales révélations d'Edward Snowden

Liste thématique non exhaustive des révélations par voie de presse :

écoutes téléphoniques : fourniture des données téléphoniques (numéros de téléphones, mails, identifiants, numéro unique d'un téléphone portable) à la NSA par l'opérateur Verizon pour les communications internes aux États-Unis et externes avec l'étranger (6 juin 2013 - The Guardian) ;

programme de surveillance PRISM : accès aux serveurs de grands opérateurs de services Internet dont Microsoft, Yahoo, Google, Facebook et Apple intégrant la surveillance en temps réel des courriels, les communications instantanées par « Chat », la participations aux forum de discussion et la diffusion de photos et de vidéos (6 et 29 juin 2013 - The Washington Post) ;

- implication de la NSA dans la surveillance du Conseil de l'Europe (PRISM), des bureaux de l'Union européenne à Washington et aux Nations unies, du siège de l'ONU à New-York (29 juin 2013 - Der Spiegel).

espionnage des communications Internet et téléphoniques des participants au G20 à Londres par le Government Communications Headquarters (GCHQ) britannique (17 juin - The Guardian) ;

programme Tempora : espionnage des câbles sous-marins transatlantiques par le GCHQ et transmission des informations à la NSA (21 juin 2013 - The Guardian) ;

programme X-Keyscore : outil d'analyse de l'activité des individus sur l'Internet telle que les courriels, l'historique de navigation et l'activité sur les réseaux sociaux (31 juillet 2013 - The Guardian) ;

programme Bullrun : décodage et exploitation des failles des systèmes de chiffrement des communications sur l'Internet utilisés par les internautes dans le cadre d'une utilisation privée et par les entreprises pour sécuriser leurs échanges électroniques (5 septembre 2013 - New York Times) ;

programme GENIE : implantation de logiciels espions sur les ordinateurs, routeurs et logiciels pare-feux dans le but de collecter à distance des informations confidentielles ;

surveillance des chefs d'État dont la Chancelière Angela Merkel (octobre 2013 - Der Spiegel) ;

collecte de 200 millions de SMS par jour dans le monde, de manière non ciblée, pour en extraire du renseignement (16 janvier 2014 - The Gardian) ;

utilisation des données de géolocalisation des téléphones portables pour déterminer la position de personnes qui sont ensuite visées par une frappe de drones (10 février 2014 - The Intercept créé par Glenn Greenwald, Laura Poitras et Jeremy Scahill) ;

Interception des flux des applications installées sur les smartphones tel que le jeu Angry birds téléchargé par plus de 1,7 milliard d'utilisateurs et le logiciel de cartographie Google Map (27 janvier 2014 - New York Times) ;

collecte de « millions » d'images par jour aux fins de reconnaissance faciale dans les bases de données de la NSA (31 mai 2014 - New York Times).

Pour M. Philippe Lemoine, « dans les révélations initiales d'Edward Snowden, le dossier le plus important, c'est l'affaire Prism, c'est à dire les accords passé entre la NSA et les grandes entreprises américaines de l'Internet. On peut se demander à quel niveau ces accords ont été passés, et s'il faut en imputer la responsabilité aux dirigeants de Facebook ou de Google, ou au mécanisme du Patriot Act, qui fait obligation à ces entreprises d'avoir des personnels habilités secret défense, instituant de fait une double hiérarchie au sein de l'entreprise. »

En effet, il convient de souligner que la collecte ne résulte pas seulement d'activités d'espionnage pratiqué unilatéralement par les agences de renseignement mais s'appuie également sur la fourniture de données par les grands opérateurs, conformément au cadre légal posé par le Patriot Act et le Foreign Intelligence Surveillance Act (FISA).

La législation américaine en matière de surveillance

À la suite des attentats du 11 septembre 2001, les États-Unis ont souhaité élargir les pouvoirs de leurs services de renseignement afin de mieux lutter contre les menaces terroristes.

C'est dans ce contexte qu'a été adopté par le Congrès le US Patriot Act107(*), loi promulguée le 26 octobre 2001, prorogée deux fois, le 9 mars 2006 et le 26 mai 2011, jusqu'en juin 2015. Cette législation a été complétée le 10 juillet 2008 par le Foreign Intelligence Surveillance Act of 1978 Amendment Act of 2008, dit FAA.

Deux dispositions de ces lois retiennent particulièrement l'attention.

La section 215 du Patriot Act permet à la National Security Agency (NSA) d'obtenir des entreprises privées américaines dans le secteur de l'Internet un accès à des données commerciales sur la base d'injonctions judiciaires secrètes. C'est à ce titre qu'a été pris le décret obligeant l'opérateur téléphonique Verizon à transmettre régulièrement à la NSA des détails sur les communications à l'intérieur comme à l'extérieur des États-Unis108(*). Par ailleurs, d'autres moyens de collecte massive de données ont été mis en oeuvre, notamment en amont (programmes dits « upstream ») des fournisseurs d'accès, à partir des réseaux publics ou privés109(*). Ainsi, plusieurs entreprises comme Google et Facebook ont pu démentir avoir accordé un « accès direct » à leurs données aux autorités, sans que cela signifie pour autant que celles-ci n'aient pu en prendre connaissance110(*).

La section 702 du FAA permet au procureur général et au directeur du renseignement américain d'autoriser conjointement, pour une période ne pouvant dépasser un an, la surveillance de personnes présumées vivre hors des États-Unis à des fins de renseignement111(*). Les citoyens ou résidents américains bénéficient des protections liées au quatrième amendement de la Constitution des États-Unis, qui interdit les perquisitions non motivées par des mandats fondés sur une base légale, protections non reconnues aux citoyens des autres pays112(*).

C'est la combinaison de ces deux dispositifs qui a rendu possibles les programmes de surveillance de masse de la NSA - notamment le programme Prism - portés à la connaissance du public en juin 2013 à l'occasion de « l'affaire Snowden ».

Si certaines activités de surveillance révélées par M. Edward Snowden sortent manifestement du cadre légal, il apparaît qu'une grande part d'entre elles s'inscrit en fait dans le cadre légal américain. Le droit américain donne la possibilité aux agences de renseignement de pratiquer une surveillance de masse et permanente, laissant les non Américains sans protection, dès lors que le 4ème amendement de la Constitution américaine ne leur est pas applicable. À cet égard, les déclarations du Général Keith Alexander, directeur de la NSA en charge de l'U.S. Cyber Command, ne sont guère rassurantes. S'il indique que tout au plus une soixantaine de citoyens américains font l'objet de la procédure de ciblage judiciaire, il reconnaît par ailleurs :

- collecter les données téléphoniques de 300 millions d'Américains, sans qu'il s'agisse d'écoute à proprement parler, aux fins d'analyse des métadonnées (numéros composés, durée des appels, date et heure) pour identifier les chaînes d'appel des organisations terroristes ;

- et ne pas avoir recours à une décision de justice pour pratiquer l'espionnage digital hors du sol américain.

En marge de ce cadre légal, il a également été rapporté, preuves photographiques à l'appui publiées dans la presse, que des agents de la NSA installaient des « Chevaux de Troie » dénommés beacon (cf. photos ci-dessous) sur les routeurs CISCO à l'insu de l'équipementier et de ses clients113(*).

Matériel de routage Cisco en cours de « modification » par des agents de la NSA

Source : No Place to Hide, Glenn Greenwald, 2014.

Pour allumer un contre-feu aux révélations concernant le piratage effectué par la NSA sur le réseau du fabricant de smartphones et tablettes HUAWEI114(*), les États-Unis ont annoncé avoir mis en cause cinq « hackers militaires » opérant de l'espionnage industriel au profit de la Chine115(*).

Si les annonces provenant de M. Edward Snowden visent principalement les États-Unis, l'Europe n'est pas pour autant épargnée par cette mise en cause des activités de surveillance de masse. Elle l'est d'autant moins que les services britanniques, allemands et français ont été cités comme des partenaires dans cette circulation d'informations. Alors que M. Philippe Lemoine a pu déplorer le silence de la France sur un tel sujet, il a souligné que « la sensibilité est tout autre en Allemagne, où le souvenir de la Stasi est encore vivant. La révélation d'une surveillance jusque sur le portable de Mme Merkel a été la cerise sur le gâteau. » Cela explique que l'Allemagne ait pu être en pointe dans la proposition d'un « Internet européen » dont les contours resteraient à définir plus précisément, étant entendu que la Commission européenne promeut des principes de gouvernance « qui préservent le caractère ouvert et non morcelé du réseau »116(*).

L'opérateur britannique Vodafone a reconnu dans un rapport publié le 6 juin 2014 par le quotidien The Guardian117(*) qu'il avait fait l'objet de pratiques de surveillance de son réseau effectuées par les autorités de 29 pays, parmi lesquels figurent le Royaume-Uni, l'Espagne, le Portugal, l'Italie, l'Allemagne, la République tchèque, la France, l'Australie, l'Égypte, l'Inde, ou encore le Qatar. En outre, il confirme notamment l'existence de câbles secrets fournissant aux agences gouvernementales un accès direct à ses serveurs et à son réseau téléphonique, pour au moins six pays. Deutsche Telekom, l'opérateur allemand, a publié en mai 2014 un rapport de transparence faisant état de 946 641 demandes de données d'internautes ayant téléchargé illégalement des contenus.

Ces premiers pas vers davantage de transparence sur le continent européen font suite à la publication en janvier 2014 par Verizon, premier opérateur des États-Unis avec 203 millions d'abonnés, d'un rapport détaillé des demandes d'écoutes qui lui étaient faites par le gouvernement118(*), mais ils demeurent très partiels.

b) Des répercussions économiques sur l'industrie qui inquiètent les acteurs du net américain

La question de la crise de confiance envers les opérateurs privés s'est posée très tôt. Ainsi, sous le titre « Le scandale FBI-NSA pourrait rebattre les cartes dans le marché du cloud », le journal Le Monde indique, au lendemain des premières révélations émanant de M. Edward Snowden : « La révélation de l'accès du FBI et de l'Agence nationale de sécurité américaine (NSA) aux infrastructures de neuf géants américains d'Internet jette le discrédit sur ces multinationales. Le programme Prism, révélé par le Washington Post, serait un outil permettant aux services de renseignement américains d'accéder aux données des personnes situées à l'étranger, qui ne sont pas protégées par la loi américaine contre les consultations sans ordonnance. »119(*)

Les auditions menées par votre mission ont montré que la relation d'échange d'informations entre l'administration américaine et le secteur privé pouvait être vue sous l'angle d'une collaboration fructueuse. Ainsi, Me Olivier Iteanu estime que « ce n'est pas la National Security Agency (NSA) qui surveille les populations, mais bien Google et Facebook. Les entreprises américaines ont été autorisées à surveiller les populations, en échange de quoi elles ont mis la main dans le pot de confiture des données. [...] L'affaire Prism a été un tsunami qui a révélé la collaboration entre les géants du Web et l'État américain. »

Mais pour M. Bernard Benhamou, « ce que l'affaire Snowden a démontré, c'est que la sécurité des échanges sur Internet avait été volontairement affaiblie, à la demande de la National Security Agency (NSA) américaine, pour y ménager des back doors, des « portes de sorties » par lesquelles la NSA pouvait surveiller les échanges. Cet amoindrissement volontaire de la sécurité est une atteinte majeure à la confiance que les particuliers et les entreprises peuvent avoir dans le réseau : ces agissements, une fois révélés, ont rompu le contrat tacite qui existait jusqu'alors entre les créateurs et les usagers d'Internet, sur la sécurité de leurs activités en ligne. Les effets en ont été rapides, en particulier sur le plan économique : depuis les révélations d'Edward Snowden, l'équipementier CISCO a vu ses commandes reculer de 17 %, dans les pays émergents, qui hésitent en effet à s'équiper si cela induit un risque important de surveillance par les États-Unis. » L'effet négatif de mauvaise réputation a donc inquiété au premier chef cet équipementier, mais par un effet de tâche d'huile, l'ensemble de l'industrie numérique semble entachée par la suspicion de collusion avec les agences de renseignement.

Le think tank Information Technology & Innovation Foundation (ITIF), basé à Washington, considère que l'impact économique sur la compétitivité des entreprises américaines, qui dominent le marché mondial du cloud est immédiat et important : durant les trois prochaines années, entre 10 et 20 % des contrats des prestataires cloud américains avec l'étranger pourraient être annulés, soit une perte de chiffre d'affaires évaluée de 22 à 35 milliards de dollars120(*).

De son côté, la Cloud security alliance a recensé, sur un panel de 500 entreprises américaines du net, un taux de 56 % de réponses accréditant la perte potentielle de contrats avec les pays non américains tels que l'Allemagne, la France, les autres pays européens mais aussi le Canada, confirmant le fait que le ralentissement de l'activité de Cisco121(*) s'inscrit dans un climat de défiance généralisé.

L'appel lancé aux autorités américaines par Cisco, Apple, Google et Facebook, à la mise en place de règles de conduite pour rétablir la confiance des consommateurs122(*) traduit une véritable inquiétude de l'industrie outre-Atlantique quant à la conservation de son leadership.

Dans une lettre adressée le 15 mai dernier par M. John T. Chambers, PDG de Cisco system, principal équipementier de réseaux, alerte le Président des États-Unis sur l'amoindrissement de la confiance des consommateurs dans l'industrie numérique américaine, le risque de perte du leadership technologique et de fragmentation de l'Internet si les « allégations des médias étaient vraies ». Il ajoute que « cette confiance est érodée par les révélations sur la surveillance faites par le gouvernement, rendant de ce fait difficile la tâche pour les entreprises de satisfaire les besoins de protection de la vie privée des citoyens et de se conformer aux lois des autres États », avant de demander que l'administration américaine s'engage dans des réformes qui puissent être acceptées par les autres pays dans le monde.

c) Des secousses politiques qui appellent une initiative de la part des États-Unis et de l'Europe

Du fait de ces révélations prouvant l'immixtion entre surveillance légale et illégale, privée et étatique, les États-Unis ont surtout perdu leur magistère moral sur l'Internet : est brutalement tombé l'argument qui légitimait la supervision américaine sur la racine de l'Internet, à savoir qu'ils étaient par excellence le gouvernement protecteur des libertés publiques, et notamment de la liberté d'expression garantie par le premier amendement de la Constitution américaine.

Se présentant comme le promoteur d'un Internet ouvert et sûr tout en pratiquant un espionnage d'une ampleur jusqu'alors sans égale, les États-Unis sont pris dans leur propre contradiction et se trouvent sous la pression de leurs propres entreprises, victimes d'atteinte à leur réputation. Et cela, alors même que selon M. Jérémie Zimmermann, porte-parole de l'association « La Quadrature du net », citant une étude de la New America Foundation, « seuls 3 % des attentats terroristes ont été déjoué grâce à cette surveillance de masse ».

Les États membres de l'Union européenne ne se sont pas entendus pour réagir ensemble, mais le Parlement européen s'est mobilisé sans tarder sur le sujet : dès le 4 juillet 2013, il adoptait une résolution afin de lancer une enquête approfondie sur les programmes de surveillance des États-Unis123(*). Il a ainsi préconisé, le 18 décembre 2013, dans le cadre de ses conclusions préliminaires, une réforme du cadre américano-européen de protection des données d'ici à la fin de 2014 au plus tard et la suspension des accords Safe Harbor et Terrorist Finance Tracking Program (TFTP) ainsi que le développement d'offres européennes d'informatique en nuage, considérant que l'ensemble des données stockées dans le cloud des entreprises américaines peut potentiellement être consulté par la NSA et la possibilité pour les citoyens de l'Union européenne d'avoir un recours judiciaire.

À la tribune de l'ONU, en septembre 2013, Mme Dilma Rousseff, présidente du Brésil, s'était insurgée en termes peu diplomatiques contre la violation de la souveraineté de son pays et de la vie privée de ses concitoyens, et contre la surveillance de ses entreprises et des représentations diplomatiques. Estimant que le respect de la vie privée permet la liberté d'expression et conditionne donc la possibilité de la démocratie, elle envisageait de doter le Brésil de ses propres infrastructures Internet. Elle avait également appelé à un nouveau système mondial de supervision de l'Internet : elle préconisait que de tels mécanismes multilatéraux garantissent la liberté d'expression, la vie privée de l'individu et le respect de droits de l'homme, et plaidait pour la neutralité du réseau, afin d'empêcher toute limitation des flux pour des raisons d'ordre politique, commercial, religieux ou autre. C'est dans ce contexte que la présidente du Brésil annonça en octobre l'organisation d'une conférence mondiale sur la gouvernance de l'Internet en avril 2014, à São Paulo.

Entre temps, le 7 octobre 2013, les dirigeants des organismes responsables de la coordination des infrastructures techniques de l'Internet - les 5 registres régionaux, l'ICANN, l'IETF, le W3C, l'IAB et l'ISOC - avaient eux aussi réagi conjointement aux révélations sur la surveillance massive. Inquiets d'une possible fragmentation nationale de l'Internet, ils ont appelé, dans la déclaration de Montevideo sur l'avenir de la coopération pour l'Internet124(*), à accélérer la mondialisation de l'ICANN et des fonctions IANA. Dans cette perspective, ils ont également lancé un forum de dialogue en ligne appelé « 1net »125(*) et destiné à élaborer des solutions collaboratives. Comme l'a explicité devant votre mission, quelques mois plus tard, M. Fadi Chehadé, président de l'ICAN : « l'ICANN détient l'une des treize racines, la racine L, qui a comme les autres des centaines de réplications à travers le monde. L'enjeu est moins le nombre d'opérateurs que la capacité à y faire des modifications. Si vous créez « .paris », par exemple, les treize opérateurs sont automatiquement informés, et le Département du commerce américain doit donner son accord. Il est temps de substituer à cette dernière étape un mécanisme international -  voilà l'enjeu de la réforme de l'IANA. »

Travaillant de concert, l'Allemagne et le Brésil ont tenu à mobiliser les Nations unies pour souligner le caractère mondial de l'indignation soulevée par les révélations sur la surveillance massive en ligne. Ces deux pays ont donc soumis à l'Assemblée générale des Nations unies un projet de résolution sur le droit à la vie privée à l'heure numérique, qui a été adopté par consensus en novembre 2013. L'Assemblée de l'ONU y affirme que les droits dont chacun bénéficie dans le monde physique (offline) doivent être pareillement garantis sur l'Internet (online), y compris le droit à la vie privée. Invoquant la Déclaration universelle des Droits de l'Homme et les traités pertinents, tels que le Pacte international relatif aux droits civils et politiques et le Pacte international relatif aux droits économiques, sociaux et culturels, elle invite aussi les États à revoir leurs procédures, pratiques et législations en matière de surveillance, d'interception et de collecte de données personnelles pour assurer leur conformité à l'égard de leurs obligations découlant du droit international en matière de protection des droits de l'homme.

Ainsi que le souligne M. Mathieu Weill, « l'affaire Snowden a fait perdre toute légitimité morale aux États-Unis qui, jusqu'alors, se présentaient comme les défenseurs des libertés [...]. L'affaire Snowden est l'électrochoc qui permet de comprendre que le statu quo n'est pas tenable. »


* 68 1997-2001.

* 69 L'UIT conserve un rôle important en matière de normalisation dans le domaine numérique, notamment avec l'Organisation internationale de normalisation (ISO) et la Commission électrotechnique internationale (CEI).

* 70 Initiée dès 1979 par M. Vinton Cerf, alors directeur de programmes à la Defense Advanced Research Projects Agency (DARPA), et désormais sous contrôle de l'ISOC.

* 71 Ainsi, selon le standard RFC-791 établi par l'IETF, chaque paquet IP se compose d'un en-tête, d'une adresse source, d'une adresse destination et de données à transmettre.

* 72 La France est impliquée dans ce processus et représente 4 % de cette production à travers des auteurs issus du monde académique et industriel (France Telecom, Orange, INRIA, AFNIC, Alcatel Lucent, Renater, SFR, Bouygues Telecom, Institut Telecom...).

* 73 Même si Nokia et Alcatel-Lucent figurent parmi les donateurs.

* 74 European Research Consortium for Informatics and Mathematics.

* 75 Pour la France, on relève la présence de l'INRIA et d'Orange.

* 76 Jusqu'à fin 2009, le Département du commerce américain était lié à l'ICANN par un Joint Project Agreement ; ce lien étroit a été légèrement relâché à partir du 30 septembre 2009, date à laquelle l'ICANN est censée être devenue indépendante, quoique toujours engagée envers les États-Unis par une Affirmation of commitments.

* 77 Cf. communication de la Commission du 11 avril 2000, au Conseil et au Parlement européen concernant l'organisation et la gestion de l'Internet - Enjeux internationaux et européens
1998 - 2000, COM(2000)202.

* 78 À comparer aux 15 730 000 domaines en « .de » gérés par l'homologue allemand de l'AFNIC, la DENIC eG.

* 79 L'Europe en compte deux, l'un en Suède, l'autre au Royaume-Uni, et le Japon un.

* 80 Un prochain tour d'attributions de noms de domaine génériques pourrait intervenir d'ici dix ans.

* 81 Cf. le rapport annuel de l'ICANN 2013.

* 82 Liste tenue à jour par l'ISO 3166-1 Maintenance Agency.

* 83 L'attribution des noms de domaine de second niveau en .fr (comme www.cognac.fr) relève quant à elle de l'Association française pour le nommage Internet en coopération (AFNIC).

* 84 Ou Agreement on Trade-Related Aspects of Intellectual Property Rights (TRIPS) en anglais.

* 85 L'ICANN tient à jour une base de données WHOIS de la zone racine qui contient les informations de contact réelles et vérifiées de tous les opérateurs de registre TLD.

* 86 Et qui se substitue au précédent Memorandum of Understanding initialement signé en 1998 et prolongé deux fois.

* 87 Le GNSO est composé de deux chambres : dans la première, les registres (gestionnaires d'extensions) et les registrars (bureaux d'enregistrement permettant d'acquérir des noms de domaine dans ces extensions) ; dans l'autre, des représentants de l'industrie, des fournisseurs d'accès, du secteur de la propriété intellectuelle et des entités non commerciales (comme la Croix Rouge). C'est le GNSO qui a initié en 2007 le processus conduisant à la libéralisation de la racine de l'Internet, qui rend désormais possible la création de nouvelles extensions.

* 88 En France, il y a trois structures At-Large : le Chapitre français de l'Internet Society, l'association e-senior et Together against cybercrime. En Europe, au titre du regroupement régional, a été créé l'European At-Large Organization (EURALO) en 2007.

* 89 Article IV, sections 2 et 3.

* 90 En son point 29.

* 91 Points 69-71 de l'Agenda de Tunis.

* 92 European dialogue on Internet governance. Le dernier EuroDIG s'est tenu en Allemagne les 12 et 13 juin 2014.

* 93 Internet : pour une gouvernance ouverte et équitable, janvier 2014.

* 94 Allemagne, Canada, États-Unis, France, Italie, Japon et Royaume-Uni.

* 95 Résolution 3 « Promouvoir un environnement propice à la croissance accrue de l'Internet », point e.

* 96 « NETmundial : only a landmark event if « Digital cold war » rhetoric abandoned », Francesca Musiani et Julia Pohle, 27 mars 2014.

* 97 La commissaire européenne en charge de la stratégie numérique, Mme Neelie Kroes, a personnellement participé aux FGI de Nairobi en 2011 et Bakou en 2012, et contribué par un message vidéo à l'ouverture de celui de Bali en 2013.

* 98 COM(1998) 111, COM(1998) 476, COM(2000) 202, COM (2009)277 et COM (2014)72.

* 99 Rapport d'information du Sénat (2012-2013) précité n°443, L'Union européenne, colonie du monde numérique ?, mars 2013.

* 100 Cf. http://ec.europa.eu/digital-agenda/en/global-Internet-and-telecommunications

* 101 Qui contribue à la préparation des travaux du Conseil « Transports, télécommunications et énergie ».

* 102 Allemagne, Belgique, Espagne, Estonie, Italie, Pays-Bas, Pologne, Royaume-Uni et Suède.

* 103 Cf. son communiqué de presse du 12 février 2014 : http://europa.eu/rapid/press-release_IP-14-142_fr.htm

* 104 Cf. compte rendu de la réunion constitutive du bureau de la mission commune d'information du 3 décembre 2013.

* 105 Le nombre de documents reçus initialement par les journalistes du Washington Post et du Guardian s'élèverait à 15 000 ou 20 000 documents chiffrés mais le nombre de 1,7 million a été évoqué en décembre 2013 (source : http://www.cbsnews.com/news/nsa-speaks-out-on-snowden-spying/).

* 106 Traduction des propos rapportés par l'article « Edward Snowden: the whistleblower behind the NSA surveillance revelations » publié le 10 juin 2013 par The Guardian : « I can't in good conscience allow the US government to destroy privacy, Internet freedom and basic liberties for people around the world with this massive surveillance machine they're secretly building ».

* 107 US Patriot Act est un acronyme pour Uniting and Strengthening America by Providing Appropriate Tools Required to Intercept and Obstruct Terrorism.

http://www.gpo.gov/fdsys/pkg/BILLS-107hr3162enr/pdf/BILLS-107hr3162enr.pdf

* 108 Information révélée le 5 juin 2013 par le Washington Post et le Guardian, voir l'étude sur Les Programmes de surveillance des États-Unis et leurs effets sur les droits fondamentaux des citoyens de l'Union européenne, commandée par la commission des libertés civiles, de la justice et des affaires intérieures du Parlement européen, publiée en septembre 2013, p. 17.

http://www.europarl.europa.eu/RegData/etudes/note/join/2013/474405/IPOL-LIBE_NT(2013)474405_FR.pdf

* 109 Ibid.

* 110 Ibid., p. 23.

* 111 Section 702 (a) du FAA : « Notwithstanding any other provision of law, upon the issuance of an order in accordance with subsection (i)(3) or a determination under subsection (c)(2), the Attorney General and the Director of National Intelligence may authorize jointly, for a period of up to 1 year from the effective date of the authorization, the targeting of persons reasonably believed to be located outside the United States to acquire foreign intelligence information. » http://www.gpo.gov/fdsys/pkg/BILLS-110hr6304enr/pdf/BILLS-110hr6304enr.pdf

* 112 Comme cela a été dit par exemple par le général Michael Hayden, ancien directeur de la NSA. Voir l'étude citée du Parlement européen, p. 26.

* 113 Source : No Place to Hide, Glenn Greenwald, 2014.

* 114 Source : Der Spiegel (22 mars 2014)

* 115 http://www.zdnet.com/chinese-military-hackers-charged-with-cyber-espionage-against-us-companies-7000029617/

* 116 Intervention de Mme Neelie Kroes, vice-présidente de la Commission européenne en charge de la stratégie numérique au sommet mondial de la société de l'information de Genève du 10 juin 2014.

* 117 Source : http://www.theguardian.com/business/2014/jun/06/vodafone-reveals-secret-wires-allowing-state-surveillance

* 118 L'opérateur a indiqué qu'il avait reçu 320 000 demandes judiciaires de récupération de données en 2013 rien qu'aux États-Unis. De son côté, AT&T, le deuxième opérateur américain a très vite suivi son concurrent Verizon en publiant lui aussi un rapport de transparence. En février, le géant américain a indiqué avoir reçu 301 816 demandes des autorités pour des écoutes téléphoniques ou encore des informations concernant ses abonnés dont un millier de demandes émanant directement de la NSA.

* 119 Source : article publié par lemonde.fr le 7 juin 2013 par Guénaël Pépin.

* 120 Source : How Much Will PRISM Cost the U.S. Cloud Computing Industry?, Daniel Castor, ITIF août 2013.

* 121 Les commandes de Cisco ont baissé de 25 % au Brésil, de 30 % en Russie et de près de 20 % au Mexique et en Chine.

* 122 «Cisco boss calls on Obama to rein in surveillance» (Financial Times du 18 mai 2014).

* 123 Cette enquête a abouti en mars 2014, avec l'adoption du rapport de M. Claude Moraes au nom de la commission des libertés civiles du Parlement européen.

* 124 http://www.Internetsociety.org/news/montevideo-statement-future-Internet-cooperation

* 125 http://1net.org/