L'Exposé des motifs du projet de loi commenté ne permet pas d’y voir quoi que ce soit de suspect : il s'agit d'incorporer dans l'ordre juridique espagnol la Directive 2000/31/CE du 8 Juin 2000, relative à certains aspects des services de la Société de l'Information, en particulier le commerce électronique dans le marché intérieur (Directive sur le Commerce Électronique). Il s'agit aussi d'incorporer partiellement la Directive 98/27/CE du 19 mai 98, relative aux actions de cessation en matière de protection des intérêts des consommateurs.

Tout comme dans le titre III du projet français de LSI (le commerce électronique), le "mobile" de la loi consiste à "renforcer la confiance des acteurs". Cette apparente bonne intention a mis le feu aux poudres d’une bonne partie des internautes espagnols qui ne se sont pas reconnus dans cette "société de l'information" qu'on semble vouloir leur imposer d'en-haut, avec à la clef des sanctions draconiennes sans commune mesure dans le monde tangible. Proposer de l'information gratuite, c'est déjà, textuellement dans le projet de loi, être prestataire d'un service de la société de l'information, avec maintes "garanties" de contrôle par les pouvoirs publics (administratifs, pas judiciaires) qu'on n'oserait pas imaginer pour la presse écrite.

Réagissant à ce qui apparaît à beaucoup comme un danger pour la liberté d'expression (le manque de protection judiciaire d'une part, et l'amalgame fait entre tous les services proposés sur la web de l'autre), le site Kriptopolis.com a organisé une grande campagne anti-LSSI qui a déchaîné les passions, tant au sénat qu’au parlement, dans la presse traditionnelle et sur la web. Cet élan démocratique et un peu révolutionnaire était beau à voir (les banners ont fleuri) et à lire, et a peut-être fait prendre conscience aux autorités que le débat existe bel et bien sur Internet et qu'on a peut-être trop vite confondu la liberté de marché d’une part (qui justifie la protection du consommateur et constitue l'objet du projet), et d’autre part la liberté d'expression protégée constitutionnellement. Le projet de loi, s'il est adopté tel quel, serait, selon Lawrence Lessig, professeur à la Standford law School, déclaré inconstitutionnel aux Etats Unis. En Espagne aussi, pense Maître Sanchez Almeida, autorité en la matière. Entre temps, Kriptopolis, craignant la censure, s'est exilé à New Jersey. Ce n'était peut-être pas une mauvaise idée vu qu'on annonce ces jours-ci la préparation d'un nouveau projet de loi (le quatrième), plus dur que l'antérieur.

Dans tout le projet il n'est plus fait mention du commerce électronique. Sauf les activités spécifiquement exclues, (Notaires et Registres Cadastraux et du Commerce, Services professionnels des avocats et procureurs, jeux de hasard) il semble que toutes les initiatives présentes sur la web tombent sous le joug de la loi.

Dans une version antérieure, les services étaient définis comme suit (traduction libre) : "Service de la Société de l'information" ou "service": Outre le commerce électronique, tout service presté normalement à titre onéreux, à distance, par voie électronique et à pétition individuelle du destinataire".

Le passage "outre le commerce électronique" a été supprimé dans la rédaction actuelle du projet, et il a été ajouté: "Sont considérées services de la société de l'information, entre autres, les activités économiques suivantes : - fournir de l'information par voie télématique ; -héberger de l'information ; - offrir des instruments de recherche, accès, et stockage de données".

Dans ce schéma, le marché impose son dualisme: On est soit consommateur, soit vendeur. "Normalement à titre onéreux" pourrait certes laisser entendre le contraire, cependant la seule présence de banners publicitaires soutenant financièrement le site, ou même un lien vers une page commerciale, sont suffisants pour qualifier d'économique une activité qui ne rapporte pas un sous. Peut-être s'agissait-il de protéger le consommateur, mais l'un des effets collatéraux sera sans aucun doute la disparition de nombreux sites qui revendiquent une information gratuite, souvent à caractère militant, pure expression de la ...liberté d'expression. Rien qu’au niveau des infrastructures techniques, le projet de loi impose aux serveurs, pour satisfaire aux inspections éventuelles, des exigences qui supposent des frais que nombre d'entre eux ne sont pas prêts à supporter.

Reste alors à payer l'amende ? Ceci est une autre illustration de la rédaction dramatique du projet dans sa rédaction actuelle. Les versions antérieures prévoyaient un système d'amende proportionnelle au chiffre d'affaire brut annuel. Dans la version actuelle il n’y a rien de tel, et, à titre d'exemple, l'impossibilité de réaliser une inspection dans les normes de la loi constituerait une infraction grave sanctionnée d'une amende comprise entre 90 000 et 300 000 Euros. Les grands groupes peuvent se le permettre, mais pas la petite entreprise, sans parler de ceux que la loi ignore et qui ne retirent aucun lucre de leur présence sur la toile.

L'une des questions que se posent encore ceux qui ne retirent pas de bénéfices de leur présence sur le Toile est de savoir s'ils doivent, ou non, figurer sur un registre.

Au sens de l'article 45 (traduction libre), "Est considéré infraction légère a) le fait de ne pas communiquer au Registre Public où ils [les prestataires de services] sont inscrits, pour les y annoter, le ou les noms de domaine qu'ils utilisent pour la prestation des services de la société de l'information". L'infraction, pour légère qu'elle soit, est passible d'une amende de 3 000 à 90 000 Euros!

Dans l'une des premières versions du projet, il était prévu que toutes les personnes dont l'activité était couverte par la loi devaient s'inscrire sur un registre de prestataires de services de la société de l'information qui, à l'époque, aurait été du ressort du ministère de l'aménagement du territoire (dont les compétences en la matière ont été transférées au ministère de la science et de la technologie lors de la création de ce dernier).

Après divers balbutiements, on en est actuellement à ce point à l'article 9 du projet de loi, sous le titre "Inscription sur registre du nom de domaine": ""les prestataires des services de la société de l'information établis en Espagne devront communiquer aux registres publics dans lesquels, le cas échéant, ils sont inscrits, le ou les noms de domaine d'Internet qu'ils utilisent de façon permanente, ainsi que toute substitution ou suppression de ce dernier, sauf si cette information apparaît déjà au registre public correspondant". Par ailleurs, "l'obligation de communication à laquelle se réfère le paragraphe antérieur devra s'exercer dans le mois suivant l'obtention, la substitution ou la suppression du nom de domaine correspondant".

Dans une version antérieure, il était indiqué que cette inscription se devait d'être faite "aux effets de l'acquisition de la personnalité juridique ou aux seuls effets de publicité". Cette précision ayant été supprimée, la mention "le cas échéant" semble exclure de cette obligation les prestataires qui ne désirent pas acquérir la personnalité juridique ni opposer leur publicité. L’interprétation contraire est toutefois aussi valable : l’obligation y serait étendue à tous les prestataires conformément à l'article 45 retranscrit plus haut. Chacun y va de son interprétation. M. Arturo Quirantes, qui depuis des années exerce les étudiants de Grenade et d'ailleurs à la cryptographie et s'est pris de passion contre le projet de LSSI (sa critique imagée relève de la littérature - voir sa section sur le site de l'université de Grenade à ugr.es) est persuadé que l'article 9.1 retranscrit plus haut institue l'obligation pour des pages d'information comme la sienne de figurer sur un registre.

On en vient d'ailleurs à se demander, dans la confusion qui règne autour de ce sujet, si le but n'est pas d'instaurer une sorte de responsabilité de surveillance en cascade qui porterait en fin de compte directement sur les contenus des pages qui, d'une façon ou d'une autre, sont touchées par la loi. Actuellement, comme le souligne Manuel Castells (leçon inaugurale reproduite sur le site de kriptopolis) on en est au stade où, par analogie, "les propriétaires d'imprimeries seraient responsables des conséquences que peuvent entraîner la publication de certains articles dans la presse, ou les opérateurs de télécommunications des conversations téléphoniques entre mafieux préparant un coup".

De façon générale, par rapport au contenu des pages, les obligations de tous les prestataires de services de la société de l'information établis en Espagne apparaissent à l'article 11 du projet. Il s'agit de (traduction libre) :

a) Communiquer aux autorités judiciaires ou administratives compétentes, dès l'instant où ils prennent connaissance de son existence, l'activité présumée illicite réalisée par le destinataire du service.

b) Communiquer aux autorités judiciaires ou administratives compétentes, sur leur demande, l'information qui leur permettra d'identifier les destinataires de services.

c) Suspendre la transmission, l'hébergement de données, l'accès aux réseaux de télécommunication ou la prestation de n'importe quel service de la société de l'information, conformément aux résolutions dictées par une autorité judiciaire ou administrative.

d) Quand une autorité judiciaire compétente le leur demande, superviser ou contrôler toutes les données relatives à l'activité d'un destinataire déterminé pendant une période maximum de six mois, et les mettre à sa disposition.(.../...)

2) Quand l'application de ces obligations pourrait affecter les droits à l'intimité personnelle et familiale, à la protection des données personnelles ou la liberté d'expression, les normes et procédures établies pour leur protection seront respectées.

Techniquement, contrôler les faits et gestes (virtuels) d'un destinataire pendant 6 mois entraîne évidemment des frais énormes que ne semble pas être disposée à prendre en charge l'administration.

Juridiquement, le fait que l'administration puisse, sans même motiver sa requête, exiger l'information lui permettant d'identifier un destinataire, ne semble pas justifié. Une garantie contre l'arbitraire pourrait consister à réserver ces facultés à une autorité judiciaire, ou pour le moins limiter la communication de données privées au cadre d'une enquête ou d'une procédure judiciaire. Idem pour les contenus, menacés par de simples décisions administratives.

Ces dangers n'ont pas échappé aux rédacteurs du projet, qui dans un deuxième temps prennent soin de préciser que ces actes de barbarie se feront dans le respect du droit à l'intimité, à la protection des données personnelles et à la liberté d'expression. On aimerait savoir comment.

Le régime de responsabilité des intermédiaires techniques à proprement parler occupe les articles 12 à 17 du projet de loi.

En règle générale, "1-Les prestataires de service de la société de l'information ne sont responsables que des contenus qu'ils élaborent eux-même ou qui ont été élaborés pour eux. 2- les prestataires de services ne seront pas responsables des contenus que, dans l'exercice d'activités d'intermediaire, ils transmettent, copient, stockent ou localisent, à condition qu'ils respectent les normes contenues dans les articles qui suivent" (Article 13)

Selon l’article 14 les opérateurs de réseau et fournisseurs d'accès ne seront pas responsables, sauf s'ils "ont été à l'origine de la transmission, ont modifié les données ou les ont sélectionnées, ou ont sélectionné leurs destinataires". La manipulation strictement technique n'est pas une modification au sens de la loi, et le stockage automatique, provisoire et transitoire des données (pour permettre la transmission, et d'une durée raisonnable) est compris dans ces activités.

Les activités de caching ("copie temporaire des données sollicitées par les usagers") sont visées par l'article 15. La responsabilité pour les contenus est exclue à condition, entre autres, que les prestataires : "-ne modifient pas l'information ; - retirent l'information qu'ils ont stockée ou en rendent l'accès impossible, dès le moment où ils prennent connaissance ; -qu'elle a été retirée d'où elle se trouvait inicialement sur la web ; -que son accès a été rendu impossible ou ; - qu'un tribunal ou une autorité administrative compétente en a ordonné le retrait ou qu'on en empèche l'accès."

Les hébergeurs ("hébergement ou stockage de données") "ne seront pas responsables de l'information stockée sur demande du destinataire, à condition que :

-a) ils n'aient pas effectivement connaissance du caractère illicite de l'activité ou de l'information stockée, ou du fait qu'elle peut léser les biens ou les droits d'un tiers susceptibles d'indemnisation ou

-b) s'ils en ont connaissance, qu'ils fassent preuve de diligence pour retirer les données ou rendre leur accès impossible. On considère que le prestataire a effectivement connaissance des circonstances signalées en a) quand une autorité compétente a déclaré l'illicéité des données et ordonné qu'elles soient retirées ou que leur accès soit rendu impossible, sans préjudice des procédés de détection et retrait des contenus que les prestataires appliquent en vertu d'accords volontaires". (Article 16)

Il n'est pas précisé si la responsabilité des hébergeurs est engagée après qu'ils ont été notifié personnellement d'une telle déclaration d'illicéité, ou s'ils devront se renseigner par leurs propres moyens. La même question se pose pour les hyperliens.

De fait, ce sont exactement les mêmes conditions qui sont exigées pour l'hébergeur et le fournisseur de liens. Cette responsabilité s'étend aux "prestataires de services de la société de l'information qui fournissent des liens à d'autres contenus ou incluent dans les leurs des directoires ou instruments de recherche de contenus!".

On attendra la prochaine version du projet, qui ne manquera pas d'être plus explicite sur la question, pour commenter ce paragraphe, car dans l'état actuel on a peine à imaginer le ratissage intempestif que suppose cette mise en règle continue. Les hyperliens étant l'essence de la "toile", c'est évidemment un thème à ne pas traiter à la légère dans une loi sur la société de l'information. Sans parler de la situation insoutenable des moteurs de recherche, expressément visés par l'article 17 dans cette dernière version du projet de loi.

Le devoir de collaboration

Cette responsabilité est à mettre en relation avec le devoir de collaboration instauré par l'article 43, en vertu duquel "les prestataires de services de la société de l'information ont l'obligation de faciliter au Ministère de la Science et de la Technologie toute l'information nécessaire pour l'exercice de ses fonctions. Ils devront également permettre à ses agents ou au personnel d'inspection l'accès à ses installations et la consultation de tout document important pour l'activité de contrôle dont il s'agisse".

Le manquement à cette obligation constitue une infraction grave, passible d'une amende allant jusqu'à 300 000 Euros. Encore une fois, la sanction, tout comme les prérogatives confiées aux mains d'improbables "agents ou personnel d'inspection" apparaissent totalement démesurées.

Le Respect des principes fondamentaux de la vie en société

Enfin, pour clore le champ des obligations et responsabilités des prestataires dans le cadre du projet du 30 Avril 2001 débattu actuellement au parlement, l'article 8 s’intitule "Respect des principes fondamentaux de la vie en société" et énonce que :

Les autorités compétentes pourront ordonner que soit interrompue la prestation d'un service de la société de l'information, que soit retirée l'information ou que soit empêché son accès, au cas où le contenu contreviendrait ou pourrait contrevenir gravement aux valeurs suivantes:

a) L'ordre public, en particulier l'investigation pénale, la sécurité publique, la défense nationale ;

b) La protection de la santé publique et des consommateurs et usagers, même quand ils agissent en tant qu'investisseurs dans le secteur boursier ;

c) Le respect à la dignité humaine et au principe de non discrimination raciale, sexuelle, religieuse, d'opinion, de nationalité ou toute autre circonstance personnelle ou sociale et ;

d) La protection de la jeunesse et de l'enfance.

L'adoption et l'application des mesures de restrictions auxquelles il est fait référence à cet article se feront, dans tous les cas, dans le respect des procédés prévus par l'ordre juridique pour protéger les droits à l'intimité personnelle et familiale, à la protection des données personnelles et la liberté d'expression, quand ils sont affectés.

Les mesures de restriction seront objectives, proportionnées et non discriminatoires, et seront adoptées de façon préventive ou en exécution des résolutions dictées conformément aux procédés administratifs légalement établis ou à ceux prévus dans la législation procédurale qui correspond."

Ne pas respecter ces obligations constitue une infraction très grave, passible d'une amende qui oscille entre 300 000 et 600 000 Euros.

Conclusion

La loi, loin de renforcer la confiance des acteurs de la société de l'information, qui, en tant que consommateurs, l'avaient peut-être déjà perdue, ou même pas envisagée, n'inspire que méfiance chez la petite et moyenne entreprise et les initiatives non commerciales présentes sur la scène de l'Internet Espagnol.

Comme le soulignent Sanchez Almeida et Manuel Castells, il existe déjà suffisamment de lois pour protéger les droits des citoyens et pénaliser les conduites délictuelles, dans et hors la toile. Il suffit de les appliquer. Si le problème est technique et que l’application sur la Toile du droit commun se révèle difficile, il faut adapter les institutions judiciaires et policières mais certainement pas, comme le législateur espagnol semble le vouloir, créer un nouveau droit de l'Internet, pour dérangeant que soit ce monde nouveau dont les institutions nationales ont peur de perdre le contrôle.

La suite du bras de fer ne se fera pas attendre.