Les VPN dans la ligne de mire en France : Tout ce qu'il faut savoir
Nous avons déjà donné notre avis sur la proposition de loi française, qui fait lentement son chemin au Parlement français et qui menace de porter un coup fatal à l'Internet ouvert (ou à ce qu'il en reste) et à la neutralité de l'Internet. La loi, appelée SREN, prétend lutter contre le harcèlement en ligne et protéger les enfants contre les contenus préjudiciables, mais elle donne également au gouvernement le pouvoir incontrôlé d'ordonner aux navigateurs web et aux résolveurs DNS de bloquer toute page web qu'il juge illégale. Cela signifie qu'en vertu de la loi proposée, le gouvernement serait en mesure de censurer tout site web qu'il n'aime pas sans aucun contrôle judiciaire ou responsabilité publique. Dans notre précédent article, nous avons expliqué pourquoi il s'agit d'une idée dangereuse et malavisée.
Mais quand il pleut, il pleut à verse. Plusieurs amendements à la loi récemment proposés visent désormais également les VPN (ou réseaux privés virtuels), qui sont des outils que vous pouvez utiliser pour naviguer sur le web en toute sécurité et de manière anonyme.
L'un de ces amendements a été introduit par Mounir Belhamiti du parti Renaissance du président français Emmanuel Macron, et l'autre par un autre allié du président français, Vincent Thiébaut, membre du bloc Horizons. Dès leur publication, ces amendements ont suscité beaucoup d'intérêt et de critiques de la part de l'opposition, des défenseurs des droits numériques, des journalistes et des avocats.
Examinons donc tout ça de plus près.
L'anonymat virtuel ? Une chose du passé
L'amendement de Belhamiti est le plus extrême des deux, puisqu'il propose une interdiction pure et simple de l'utilisation des VPN sur les sites de réseaux sociaux. Pour justifier cette interdiction, le législateur estime que les règles du monde physique doivent s'appliquer au monde virtuel. Pour ce faire, il compare les réseaux sociaux à des "voies publiques" où l'anonymat n'a pas sa place, car si c'était le cas, les infractions au code de la route ne seraient pas sanctionnées. Belhamiti estime que les fournisseurs de services en ligne devraient être en mesure de punir les criminels tout comme les agents de la circulation, et pour ce faire, ils doivent connaître votre adresse IP. Le problème avec les VPN, dit-il, c'est qu'ils rendent plus difficile l'identification des criminels en ligne... et qu'ils doivent donc être interdits.
Pour garantir l'application de l'interdiction, M. Belhamiti propose que les fournisseurs de services en ligne soient tenus de détecter si leurs abonnés utilisent un VPN pour "publier, commenter ou interagir " avec la plateforme. Si un fournisseur constate qu'un utilisateur est connecté via un serveur VPN, il doit le bloquer.
Sans surprise, la proposition n'a pas été bien accueillie par le public français et a immédiatement été qualifiée d'"orwellienne".
Face aux réactions de plus en plus vives, Belhamiti a retiré l'amendement quelques jours seulement après son introduction. Dans un long message publié sur X, Belhamiti a déclaré qu'il ne s'attendait pas à ce que l'amendement soit approuvé en premier lieu ( !). Le législateur a ajouté qu'il souhaitait simplement susciter un débat et attirer l'attention sur la question de la criminalité en ligne et des VPN.
En déposant un amendement visant à interdire la publication (et non la consultation) sur les réseaux sociaux via une connexion #VPN, il est bien évident que je n'imagine pas son adoption tel quel.
Il vous appartient de prendre les paroles de Belhamiti au pied de la lettre. En ce qui nous concerne, il semble plus probable que la pression exercée par les défenseurs de la vie privée et le grand public ait atteint le législateur et l'ait contraint à faire marche arrière. Il est également intéressant de noter que M. Belhamiti a tenté d'établir une distinction entre l'utilisation d'un VPN pour publier/partager ("publier") et pour consulter ("consulter") des contenus. Selon le législateur, seul le premier devrait être interdit, ce qui rend l'idée encore plus confuse. Si c'est le cas, les fournisseurs devront faire la distinction entre les utilisateurs qui utilisent des VPN pour consommer du contenu et ceux qui utilisent des VPN pour créer du contenu. Cela semble complètement farfelu si vous voulez notre avis.
Le retrait de l'amendement de Belhamiti est une victoire pour les défenseurs de la vie privée et de l'anonymat en ligne. Mais il ne faut pas exagérer l'importance de ce triomphe local : la bataille est peut-être terminée, mais la guerre fait rage.
La proposition de Belhamiti, désormais sans objet, a été quelque peu éclipsée par un amendement à la même loi présenté par un groupe de députés dirigé par Thiébaut. Cet amendement n'a peut-être pas fait couler autant d'encre, mais il est tout aussi préjudiciable.
Le grand Firewall français ?
L'amendment de Thiébaut n'interdit pas purement et simplement les VPN, mais vise à les rendre inutiles** (du moins pour de nombreux cas d'utilisation courants). L'amendement exige des fournisseurs de VPN qu'ils s'assurent que leurs services "ne permettent pas l'accès à un réseau Internet non soumis à la législation et à la réglementation françaises ou européennes ". La formulation laisse beaucoup de place à l'interprétation, mais son intention semble claire : reléguer l'Internet français dans l'arrière-cour du gouvernement français. Cela ne peut que nous rappeler la "grande muraille de Chine", un système réglementaire et technologique de censure d'Internet qui permet à Pékin de filtrer et de bloquer le contenu en ligne pour les utilisateurs à l'intérieur du pays.
L'amendement permet également à l'Autorité de régulation de l'audiovisuel et des communications numériques (ARCOM) de notifier aux fournisseurs d'accès à Internet et aux résolveurs de DNS les VPN qui ne respectent pas les règles. Dans les 48 heures suivant la notification, ils doivent empêcher les utilisateurs de se connecter aux VPN incriminés. Un ordre de blocage d'un VPN particulier pour non-conformité peut durer jusqu'à 24 mois.
Contrairement à l'amendement de Belhamiti, celui de Thiébaut doit encore être débattu au parlement français. Et même s'il n'est pas adopté (ce que nous espérons), rien ne garantit qu'un amendement similaire ne passera pas inaperçu du public et n'entrera pas en vigueur.
Ce qu'on peut retenir de tout cela, c'est qu'une partie de la société française qui tient à son anonymat et à sa vie privée devrait se préparer à une bataille difficile et rester vigilante face aux tentatives du gouvernement de rendre les VPN illégaux dans le pays, que ce soit directement ou indirectement. Tout porte à croire qu'il y en aura plusieurs à l'avenir.
Pour l'instant donc, l'utilisation d'un VPN est légale en France comme dans la majorité des pays du monde. Les pays qui ont interdit ou fortement restreint l'utilisation des VPN justifient généralement leurs actions par la nécessité de protéger le bien public. Les députés français n'échappent pas à cette tendance : ils présentent leurs propositions comme nécessaires pour protéger les enfants ou empêcher la diffusion de contenus illégaux. Cependant, le fondement de ces interdictions est erroné et découle d'une fausse représentation de ce que sont les VPN et de la manière dont ils fonctionnent.
La majorité des personnes qui utilisent des VPN sont des utilisateurs légitimes qui ne font rien d'illégal. Ils sont simplement attachés à leurs droits et libertés en ligne et souhaitent protéger leur vie privée des regards indiscrets des fournisseurs de services Internet, qui peuvent suivre leurs moindres faits et gestes en ligne s'ils ne sont pas dissimulés. Ceux qui utilisent des VPN pour commettre des délits sont une minorité absolue, et interdire les VPN pour les identifier semble être une solution douteuse et disproportionnée. Les criminels trouveront toujours un moyen de dissimuler leur identité en ligne, tandis que les utilisateurs occasionnels se verront privés d'un outil important pour protéger leur vie privée et leurs informations personnelles sensibles, à la fois contre un gouvernement de plus en plus inquisiteur et contre les cybercriminels.