Par Laurence Bindner et Raphael Gluck, co-fondateurs de JOS Project
Au cours de l’année 2018, alors que Daech recule de plus en plus sur le terrain, l’Etat islamique (EI) résiste sur un autre front, celui du djihad médiatique. Les nouvelles productions, en nombre certes réduit, continuent d’être diffusées sur le web, tandis que les archives relatives à l’idéologie, la doctrine, la stratégie et les modes opératoires demeurent disponibles.
Les schémas de dissémination ont évolué : les djihadistes se sont repliés des grands réseaux sociaux vers le deep web et les applications de messageries chiffrées telles que Telegram, rendant l’offre idéologique des groupes djihadistes moins immédiatement accessible au grand public. Néanmoins, ceux-ci s’efforcent toujours avec constance de faire émerger leurs contenus sur les réseaux sociaux où la viralité confère une portée plus significative à chaque contenu. Ils les disséminent également vers un nombre croissant de plateformes – clouds ou sites de partage de fichiers -, parfois submergés de propagande djihadiste. Parallèlement, la mouvance d’ultra-droite, atomisée, est en phase de structuration et d’intensification de son activité, avec un point d’orgue lors de la diffusion de la vidéo de l’attentat contre les mosquées de Christchurch le 15 mars 2019.
C’est dans ce contexte que la lutte se structure, tant au niveau des autorités, des acteurs privés que des institutions et qu’un Règlement, initié par la France et l’Allemagne, doit être voté le 2 avril 2019 par le Parlement Européen. Le présent article, sans en faire l’exégèse exhaustive (réalisée ici), vise à mettre en lumière les questions et difficultés qui surgiront lors de la mise en œuvre de ce Règlement, ainsi que les problématiques de déconfliction qu’elle pourrait potentiellement engendrer entre les acteurs impliqués.
Genèse du Règlement
Jusqu’à présent, en cas d’hébergement de contenus à caractère terroriste, le régime qui prévaut est énoncé dans la Directive e-commerce 2000/31 et repose, entre autres, sur deux principes. D’une part, les hébergeurs et fournisseurs de service sont exemptés de la responsabilité légale d’héberger des contenus illicites à condition d’ignorer leur présence et les supprimer « rapidement » dès qu’ils en prennent connaissance. D’autre part, une disposition de cette Directive indique l’absence d’obligation légale, pour les plateformes, de mener une surveillance proactive des contenus qu’elles hébergent.
Depuis 2015, les autorités ont ressenti le besoin d’orienter la législation vers une action plus contraignante. En effet, les contenus à caractère terroriste avaient percé depuis 2013-14 environ, du fait du cumul de la production média prolifique de l’EI et de l’utilisation massive des réseaux sociaux par les djihadistes. De plus, la consultation quasi-systématique de ces contenus en amont d’un attentat (consommation de propagande, visualisation de tutoriels, ou, de manifestes dans la mouvance d’ultra-droite) a convaincu les autorités de la nécessité de mettre à jour les règles existantes.
Les principes du Règlement : périmètre large, obligations et contraintes avec sanctions financières à la clé, transparence
Un périmètre large des acteurs et des contenus concernés
Le Règlement (dans sa version originale non amendée) s’appliquera à tout hébergeur de contenus proposant ses services dans l’Union européenne (UE) et diffusant auprès de tiers : réseaux sociaux, diffuseurs de vidéos en streaming, sites de partage de fichiers et autres services en cloud, sites publiant les commentaires d’internautes et fournisseurs de services d’infrastructure cloud.
Sera concerné par ce Règlement tout contenu faisant l’apologie du terrorisme, le provoquant, l’encourageant, le promouvant, ou fournissant instructions ou incitations à participer aux activités d’un groupe terroriste.
Obligations et contraintes
Les hébergeurs auront des obligations réactives et des obligations proactives.
Tout d’abord, une autorité compétente (administrative, répressive ou judiciaire), qui sera mise en place dans chaque Etat, disposera entre autres des prérogatives suivantes : envoyer aux hébergeurs des injonctions de suppression, ainsi que des signalements. Dans le cas d’une injonction de suppression, les hébergeurs disposeront d’une heure pour exécuter la requête (suppression ou blocage de l’accès), sauf cas de force majeure, à justifier. Lorsqu’un signalement sera envoyé aux hébergeurs, la tâche d’évaluer le caractère licite ou illicite (avec suppression ou blocage à la clé) du contenu leur incombera. Des allers et retours sont néanmoins prévus en cas de besoin.
Parallèlement, ils seront tenus de mener une surveillance proactive des contenus qu’ils hébergent en adoptant des mesures « appropriées, raisonnables et proportionnées », fonction du niveau d’exposition de leurs services à la propagande terroriste. Dans ce but, et considérant la masse des contenus à traiter, le Règlement mentionne la possibilité de faire usage d’outils automatisés afin de prévenir la réémergence de contenus déjà bannis ainsi que l’émergence de nouveaux contenus.
Des sanctions financières seront appliquées aux contrevenants réguliers, pouvant atteindre 4% de leur chiffre d’affaire global.
Le Règlement ne remet pas en cause l’exemption de responsabilité légale portée par la Directive e-commerce, mais la protection offerte jusqu’à présent par cette exemption se trouve considérablement réduite pour deux raisons. D’une part, du fait des injonctions de suppression, signalements et surveillance proactive, les hébergeurs pourront moins se prévaloir d’ignorer la présence de ces contenus. D’autre part, l’exigence de retrait en une heure pour certains contenus durcit le cadre précédent, plus flou, de l’obligation de leur suppression « rapide ».
La transparence
Les hébergeurs seront tenus de fournir des rapports réguliers sur les mesures proactives mises en œuvre ainsi que leur efficacité, et devront conserver à des fin judiciaires les contenus ainsi que les données qui leurs sont associée (adresse IP, métadonnées).
Questions autour du Règlement
Il est logique d’avoir entrepris de légiférer dans un cadre européen, en premier lieu afin de commencer à harmoniser les pratiques et de combler un retard législatif dans l’espace numérique. De plus, considérant l’hétérogénéité de la prise de conscience et des réactions des plateformes malgré l’exploitation systémique d’internet par les groupes terroristes – les djihadistes en particulier -, un cadre inclusif devait être proposé. Il semble donc cohérent que, parallèlement à l’évolution des infractions et de leurs outils de support, la justice puisse adapter son arsenal. Dans cette lutte, l’intégration des acteurs privés est incontournable : il est crucial qu’ils puissent y tenir un rôle actif, étant les mieux placés pour connaître les schémas de dissémination sur leur plateforme, la faiblesse ou la force de leurs algorithmes, et pour améliorer ces outils technologiques. Parallèlement, la problématique de la suppression « dans l’heure » pour certains contenus correspond aussi à des craintes légitimes : plus un contenu perdure en ligne, plus il sera susceptible d’être vu, téléchargé puis repartagé. De plus, la suppression rapide de certains comptes prolifiques et résurgents romprait, du moins limiterait, la reconstitution systématique de leurs réseaux d’abonnés ou d’amis. Ceci justifie également l’adoption d’outils automatisés, nécessaire face à la massification et la prolifération des contenus à analyser.
Ces principes sous-tendant le Règlement risquent néanmoins de soulever des difficultés et d’engendrer des effets pervers lors de sa mise en œuvre si les périmètres ne sont pas restreints et les responsabilités clairement attribuées.
Tout d’abord se pose la question de la limite entre licite et illicite pour un contenu. Ce positionnement dépend de sa nature, de sa paternité, et du contexte de sa publication.
Si certains contenus ne posent pas de doute en termes de nature et d’intention (exactions, menaces, tutoriels notamment) et si d’autres doivent être supprimés rapidement par respect pour la mémoire des victimes, la zone floue reste large pour ce qui est de l’apologie, de la promotion et de l’incitation au terrorisme : où placer les prêches de prédicateurs dont les allégeances peuvent évoluer ? Comment classifier de manière certaine ces contenus sur toute leur gamme ? Si certains media sont clairement identifiés comme affiliés à des groupes (à titre d’exemple, l’agence Amaq et le centre médiatique al-Hayat ont été désignés comme entités de l’EI par le Département d’Etat Américain) l’écosystème médiatique des groupes djihadistes, en particulier celui de l’EI, n’est pas un univers cartésien et ordonné. Il est au contraire formé d’une nébuleuse de groupes, fondations médiatiques, affiliés, liés, sympathisants, voire de fondations affichant une certaine neutralité. Cet écosystème médiatique forme un continuum, et tracer la ligne délimitant les groupes affiliés des autres, à la ligne éditoriale potentiellement plus ambiguë, peut s’avérer délicat. De plus, de nombreux groupes, fondations, ou contenus créés par de simples individus sympathisants, loin d’être pérennes, apparaissent et disparaissent. Cette question des affiliations de média et de contenus a été abordée lors du procès des administrateur du forum djihadiste francophone Ansar al-Haqq.
Des questions similaires se posent au niveau des comptes sur les différentes plateformes. Comment classifier les comptes qui affirment une posture sans partager de contenu violent ou incitatif, comme par exemple ceux qui arborent une figure djihadiste plus ou moins connue dans son profil tout en ne partageant que des contenus licites ?
Afin d’assurer une surveillance intègre et claire, et d’être en mesure de traiter les signalements avec rigueur, les plateformes devront soit internaliser un suivi intensif et continu, soit être fréquemment alimentées (sur l’écosystème médiatique, l’actualité de la mouvance concernée), par exemple par les autorités compétentes, afin d’obtenir les données nécessaires pour fonder leur décision. A défaut, elles mèneront la surveillance dans une imprécision qui laissera régulièrement le champ libre à des erreurs – omissions autant que faux positifs.
A la problématique de la nature et de la paternité des contenus s’ajoute celle du contexte de leur publication. Exemple récent, la photo d’un groupe d’enfants de Baghouz, dernière enclave de l’EI en Syrie, en train de prier, prise par un photographe de l’agence Reuters est devenue emblématique de la relève de l’idéologie de l’EI. Le cliché est abondamment exploité pour illustrer chaînes Telegram ou comptes de réseaux sociaux. Cette question des contenus non terroristes (médias traditionnels) réappropriés par les groupes djihadistes (modification de la bande son, effets de style) se pose autant que celle des contenus terroristes anonymisés ou sortis de leur contexte (logos rognés, extraits vidéos). A nouveau, pouvoir en identifier la provenance et contextualiser exige un suivi étroit.
Les questions précédemment abordées sur les contenus soulignent également les limites de l’intelligence artificielle (IA), qui n’est pas (encore) en mesure de détecter systématiquement et sans erreur la nature, la paternité, et encore moins le contexte d’une publication. Les hébergeurs devront faire preuve de circonspection et d’une vérification des résultats de l’IA par l’œil humain, au risque d’engendrer des effets secondaires comme par exemple l’effacement des preuves de crimes de guerre.
Selon la version finale du Règlement, les investissements financiers à réaliser pour les plateformes pourront être significatifs : ils concerneront l’adoption d’outils automatisés et le coût humain engendré par la surveillance proactive, les astreintes ou permanence à mettre en place pour répondre dans l’heure aux injonctions de suppression, ainsi que les ressources nécessaires pour la réalisation des rapports. Ces investissements représenteront, selon la taille et la solidité financière des hébergeurs, des arbitrages sur d’autres investissements, parfois cruciaux (R&D, technologiques) et risquent d’affecter le dynamisme du secteur. Certains hébergeurs pourraient également opter pour une répercussion de ces coûts vers l’utilisateur final, affectant ainsi l’équilibre de l’écosystème.
A ces coûts de mise en place viennent s’ajouter ceux d’une sanction financière en cas de non-respect des obligations, que tous les acteurs chercheront à éviter. Deux effets pervers pourront s’ensuivre. En premier lieu, les plateformes pourront opter pour un principe de prudence conservatrice, avec des suppressions plus systématiques, voire plus strictes que ce que la loi aurait requis, pour se maintenir sous l’abri de l’exemption de responsabilité, ce qui poserait la question du respect des droits fondamentaux et de la liberté d’expression, soulevée par des associations de défense des libertés. En second lieu, les mécanismes et processus de vérification et surveillance pourraient évoluer vers une démarche machinale, systématique, mécanique et non responsabilisante de suppressions, qui ne discriminerait plus entre contenus ou comptes porteurs d’informations utiles pour le renseignement, ceux à dangerosité forte (exactions, tutoriels) et ceux plus anodins. Cet effet pervers a déjà été noté dans le domaine de la lutte contre le financement du terrorisme.
Pistes de réflexion
Afin que ce Règlement puisse avoir une action optimale , l’UE doit se donner les moyens d’organiser sa mise en œuvre en offrant un cadre précis, une stratégie de segmentation des contenus, en initiant une réflexion plus globale et anticipatrice.
C’est au niveau des autorités régaliennes et de l’UE qu’un cadre précis de consignes et de périmètres devrait être fourni aux plateformes afin de clairement délimiter le licite de l’illicite. Pour cela, les autorités compétentes pourront intégrer (ou s’appuyer sur) des équipes d’experts de chaque mouvance terroriste, susceptibles d’en identifier les différents media, d’en maîtriser la symbolique, les codes, l’iconographie, l’actualité, afin de mettre à jour le cadre prédéfini en temps réel. Ces équipes alimenteraient régulièrement et fréquemment les plateformes, et fourniraient ainsi un accompagnement juridique et humain, pour mieux identifier ce qui devra être supprimé ou simplement bloqué pour les internautes de l’UE (le blocage étant par exemple contournable avec l’utilisation d’un VPN). Un tel cadre éviterait ainsi au régalien d’exporter vers le secteur privé la responsabilité d’évaluer un contenu et de se délester ainsi sur les conditions générales d’utilisation des hébergeurs.
Devant la masse des contenus à analyser, une différenciation pourrait être approfondie afin de segmenter entre contenus ou comptes les plus nocifs, ceux porteurs d’informations pour le renseignement, ou encore pour la recherche, et les comptes plus anodins du « bas du spectre », notamment en sensibilisant le secteur à l’intelligence en sources ouvertes et au SocMint (Social media intelligence). La « nocivité » d’un contenu dépendra de son essence, de son potentiel de viralité, de sa vitesse de dissémination et des possibilités d’interactions offertes autour de ce contenu. Une classification simple avec des exemples et visuels aiderait à trancher dans les situations de doute. Des systèmes d’alerte pourraient également être mis en place en cas de contenu hautement nocif sur l’ensemble des plateformes. La vitesse de dissémination et de la portée de la vidéo de l’attaque terroriste des mosquées de Christchurch crée en cela un précédent préoccupant et doit faire l’objet de retours d’expérience rapides et précis.
Enfin, les autorités compétentes pourront, dans le cadre de la coopération permise par ce Règlement, mener de concert une réflexion plus large, au niveau géographique et temporel, sur les stratégies à mener.
Alors que les différentes mouvances terroristes sont devenues transnationales, ce cadre de modération de l’internet devrait être étendu au-delà de l’UE, et les initiatives déjà entreprises sous l’égide de l’ONU approfondies.
Par ailleurs, l’utilisation croissante du chiffrement de bout en bout par les groupes terroristes devra être intégrée dans la réflexion en impliquant des acteurs de la cybersécurité. Qui dit suppression dit migration, qui bannit s’expose à des nouvelles technologies (nouvelles plateformes, web décentralisé, dark web,…). Les arbitrages entre suppression et exploitation de ces contenus devront donc être avisés, et les considérations à court terme évitées à tout prix, au risque de s’exposer à des périls accrus. Ainsi, la proposition visant à contraindre les fabricants de logiciels ou de hardware à fournir des clés de chiffrement ou des portes dérobées dans les cas de terrorisme, avancée entre autres par l’Australie récemment, poursuit des résultats ponctuels et immédiats. Son adoption, aisément contournable au vu de la disponibilité d’offres de chiffrement, risque d’avoir des effets pervers importants en termes de cybersécurité. Une démarche anticipatrice des acteurs impliqués s’avère donc cruciale face à la résilience des groupes terroristes et leur adaptabilité.
Laurence Bindner a précédemment exercé en tant que directrice du développement au Centre d’analyse du terrorisme (CAT) à Paris. Ses travaux portent sur l’analyse du financement du terrorisme (voir Financement ISIS), sur les liens entre le financement du terrorisme et le commerce illicite et sur la quantification des réseaux djihadistes en France et dans l’UE. Elle a développé une expertise sur la rhétorique djihadiste en ligne. Vous pouvez la suivre sur Twitter: @LoBindner
Raphael Gluck est chercheur et analyste indépendant. Il s’intéresse à la propagation du terrorisme en ligne via l’utilisation du web, des réseaux sociaux et du dark web et web profond. Ses conclusions ont été reprises dans des dizaines de médias et il est fréquemment consulté par des groupes de réflexion et des organisations gouvernementales. On peut le trouver sur Twitter: @einfal
Cet article a originellement été publié en langue française sur Ultima Ratio. Republié ici avec la permission de l’auteur.