Pavel Durov, ou Paul du Rove puisqu’il a obtenu la nationalité française en 2021, a été arrêté à Paris le 24 août dernier sur la demande de deux juges d’instruction après une enquête préliminaire de la section de lutte contre la cybercriminalité du parquet de Paris. Maintenu en garde à vue pendant près de 96 heures (durée applicable aux infractions liées à la criminalité organisée), il a été placé sous un contrôle judiciaire strict avec interdiction de quitter le territoire français et obligation de pointer au commissariat deux fois par semaine (après versement d’une caution de 5 millions d’euros). Il est mis en examen pour l’ensemble des 12 infractions mentionnées dans le réquisitoire introductif1.
Pour définir les obligations légales d’une entreprise comme Telegram, il faut d’abord en préciser l’identité. Telegram est une application de messagerie gratuite qui rassemble, selon les estimations, entre 900 millions et 1 milliard d’utilisateurs dans le monde. Ceux-ci utilisent cette plateforme pour une double finalité. D’un côté, comme un système de messagerie privée permettant des échanges de personne à personne ; de l’autre comme une plateforme de contenus, à travers des groupes, ouverts ou fermés, pouvant réunir des dizaines de milliers de membres, c’est-à-dire en fait un réseau social permettant de partager des contenus en masse.
Telegram relève donc de deux types de règles différentes, avec des zones grises entre les deux. D’une part, en Europe, les communications personnelles sont couvertes par le secret. Par exemple, on ne tient pas La Poste pour responsable du contenu des lettres qu’elle achemine et on ne lui demande pas de les contrôler. C’est l’auteur de la lettre qui est, le cas échéant, responsable devant le juge. Il en va de même pour les messages sur les réseaux sociaux, qu’ils soient dans des groupes ouverts ou fermés : ils doivent respecter la loi. D’autre part, un consensus existe pour dire que les plateformes comme Telegram (ou Facebook, X, TikTok, Instagram, Snapchat…) ne sont pas des éditeurs de contenus : ce n’est donc pas le droit de la presse qui s’applique, dans lequel l’éditeur est responsable pénalement du contenu de ses publications. Ici, il s’agit d’un hébergeur de contenus – un statut juridique différent – confronté à un volume de publications gigantesque (avec un milliard d’utilisateurs, c’est compréhensible). Ce n’est pas pour autant qu’il faut renoncer à réguler ces outils de communication qui, du fait même de leur ampleur, ont un rôle systémique absolument majeur, si important qu’il peut déstabiliser nos démocraties en diffusant des fausses informations, des appels à la violence ou en favorisant des trafics en tous genre. Cet été par exemple, des appels à la violence et des fake news ont été très largement diffusés au Royaume-Uni à travers des groupes sur Telegram, participant à la flambée d’émeutes racistes en juillet.
C’est pourquoi, les contenus partagés en masse sur les réseaux sociaux doivent pouvoir être modérés par l’hébergeur. Le texte européen du Digital Services Act (DSA) a de nouveau consacré le principe, qui a cours depuis 2000 et a rendu possible l’essor de l’Internet, d’une absence d’obligation de contrôle a priori, c’est-à-dire l’interdiction pour l’État d’imposer une surveillance généralisée. Les hébergeurs bénéficient d’une responsabilité limitée : ils n’ont pas à connaître les contenus qu’ils hébergent mais, en cas de signalement par un utilisateur (le cas échéant par les forces de l’ordre), ils sont réputés les connaitre et doivent retirer ceux qui sont manifestement illégaux (duty of care). On peut dire que ce sont donc les hébergeurs eux-mêmes (et non les États) qui sont chargés de la régulation des contenus pour les cas les plus évidents au regard de la loi, les autres restant sous l’appréciation du juge.
Le DSA procède néanmoins à des percées réglementaires applicables à toutes plateformes en ligne, puisque contrairement aux simples hébergeurs, elles ne sont pas uniquement passives par rapport aux contenus qu’elles hébergent (elles choisissent d’en recommander certaines par exemple). En se faisant le garant des droits fondamentaux des utilisateurs sur internet, le DSA soumet les plateformes à des obligations de transparence en matière de modération, de justification et de « moyens » qui visent à assurer la sûreté en ligne. Cette responsabilité est d’autant plus justifiée qu’avec leurs algorithmes de recommandation, visant à accroitre toujours d’avantage l’ « engagement » des utilisateurs (en réalité, le temps passé devant leur écran), les réseaux sociaux interviennent directement sinon dans la production de contenus (on est bien dans une situation d’user-generated content (UGC)) dans leur mise en avant (curation des contenus) et, de ce fait, leur popularité. Le signalement reste essentiel dans ce cadre de régulation, avec notamment l’obligation de proposer un bouton de signalement clairement accessible pour que tout usager puisse facilement faire remonter un problème. Le texte établit aussi un système de « signalement de confiance » pour certains utilisateurs agréés (par exemple, une association agréée de lutte contre la pédocriminalité doit voir son signalement remonter la chaîne plus vite que celui d’un utilisateur lambda).
Le DSA, et c’est sans doute là sa plus grande innovation, vient distinguer au sein des plateformes en lignes, les très grandes plateformes (celles comptant plus de 45 millions d’utilisateurs dans l’Union européenne) qui voient leurs obligations renforcées. Il ne s’agit pas seulement dans leur cas de lutter contre les contenus illégaux mais aussi contre les contenus préjudiciables, avec la notion de risques systémiques du fait du nombre d’utilisateurs. Ces très grandes plateformes doivent régulièrement identifier les risques systémiques susceptibles d’émerger, préciser les mesures de réduction des risques mises en place, les évaluer, sous le contrôle de la Commission européenne et des autres régulateurs nationaux. Or Telegram, qui a choisi de relever de la responsabilité du régulateur national belge (une exigence du DSA), déclare n’avoir que 41 millions d’utilisateurs en Europe… ce qui serait contesté par la Commission européenne. On pressent ici que le niveau de coopération de l’entreprise demeure minimal. D’autre part, le système européen suppose qu’il y ait des échanges entre le régulateur et les entreprises. Or, là encore, Telegram s’est distingué par sa faible coopération. Par exemple l’Allemagne a infligé en 2022 une amende de 5 millions d’euros à Telegram parce que la plateforme refusait de nommer un représentant pour discuter avec les autorités allemandes
La question de principe, s’il y en a une, posée par l’arrestation de Pavel Durov, est donc plutôt : « une entreprise peut-elle refuser de coopérer avec des autorités publiques légitimes ? ». La réponse paraît évidente, du moins en Europe. C’est un point essentiel du réquisitoire introductif : refus de coopérer avec les autorités judicaires qui ont adressé des demandes dans le cadre d’enquêtes pénales (probablement des requêtes d’identification de certains usagers, à travers leur adresse IP, un état civil ou autre, dans le cadre d’enquêtes contre des trafics ou des actions violentes, terroristes ou autres, et des activités pédocriminelles). Le communiqué de presse de l’entreprise Telegram affirme refuser de se plier à des « lois locales », ce qui est une désignation particulièrement désinvolte des règles édictées par des Etats souverains – comme s’il existait par ailleurs des « lois globales » applicables, ce qui n’est évidemment pas le cas.
D’un point de vue technique, il est difficile de savoir si l’entreprise est de bonne foi en affirmant qu’elle ne dispose pas elle-même des informations qui lui sont réclamées par la justice. Si les échanges entre particuliers peuvent être chiffrés de bout en bout, cette fonctionnalité n’est pas activée par défaut et n’est donc pas systématiquement utilisée par les particuliers. Par ailleurs, le protocole utilisé par Telegram est opaque, on ne sait donc pas s’il existe une clé de déchiffrement (backdoor) qui permettrait à l’entreprise de lever le secret dans des cas spécifiques (action terroriste en cours, menaces de violence imminente…). Ensuite, pour les conversations de groupe, les groupes et les canaux, le chiffrement de bout-en-bout ne fonctionne tout simplement pas sur Telegram. Enfin, les métadonnées (quel utilisateur ou quelle adresse IP a échangé avec quel autre utilisateur ou quelle autre adresse IP et quand), qui correspondent aux « fadettes » de la téléphonie, sont aussi des informations utiles aux enquêtes et dont les plateformes disposent. Au demeurant, depuis l’arrestation de son patron, l’entreprise s’est mise à répondre aux réquisitions de la justice française sur certains dossiers en souffrance2.
La défense de Pavel Durov, le présentant comme un champion incontestable de la liberté d’expression, s’appuie sur le rôle joué par Telegram en Russie ou en Iran pour préserver des espaces de liberté à l’abri des pouvoirs publics. Pavel Durov a effectivement aidé à préserver un espace de pluralisme en Russie. Il a même quitté la Russie à grand bruit et s’est installé, avec les serveurs de son entreprise, à Dubaï pour échapper aux pressions qui l’avaient contraint de vendre sa première entreprise, le réseau social VK qu’il avait fondé avec son frère en 2006. La stratégie de M. Durov se comprend comme l’affichage d’un refus de coopérer avec quiconque, pour donner l’impression qu’il ne coopère pas non plus avec les Russes. Mais cela est-il crédible ? La nature du régime et des pressions qui peuvent s’exercer sur un entrepreneur ne sont pas les mêmes en Russie qu’en Europe. La question restera ouverte car personne n’est capable d’y répondre. Pourquoi, malgré son exil, Pavel Durov s’est-il rendu une soixantaine de fois en Russie entre 2015 et 2021 ? Des allers et retours qui jettent un doute sur la légende du paria – et l’on sait comment Moscou traite les parias. Ne serait-il pas commode pour les services de sécurité russe de surveiller les communications d’opposants convaincus pour leur part de pouvoir échanger leurs messages sur une application sécurisée échappant au contrôle des autorités ? Le système de répression-compromission russe est particulièrement sophistiqué et, pour le coup, probablement indéchiffrable.
De ce point de vue, la nationalité française octroyée à Pavel Durov ne fait qu’ajouter à la perplexité. Celui-ci, au cours de sa garde à vue, a d’ailleurs protesté de ses contacts avec le chef de l’Etat et… les services de renseignement intérieur français4. Il était en effet tentant pour les services mobilisés par la lutte antiterroriste d’établir un canal direct d’échange avec le patron de Telegram pour faire remonter au plus court des demandes en cas de menace, et contourner ainsi les fins de non-recevoir opposées à la coopération officielle. D’autre part, il était cohérent pour le Président champion de start up nation d’essayer de convaincre le patron de Telegram d’installer ses serveurs en France. Ce que ce dernier a peut-être promis mais, notoirement, pas réalisé. Il semble, au bout du compte, que Pavel Durov n’ait jamais répondu aux sollicitations directes des services français pour lutter contre le terrorisme, conduisant ces derniers à abandonner ce dossier et à se consacrer à d’autres urgences.
La procédure judiciaire n’en est encore qu’à ses débuts. Mais l’action des juges d’instruction ouvre une nouvelle phase du dossier de la régulation des contenus en ligne. Après la phase libertaire utopique des débuts de l’internet et le violent retour de bâton des guerres informationnelles en ligne entraînant la crainte de déstabilisation de nos régimes libéraux, la mise en place mesurée et progressive, tout d’abord en Europe, d’une régulation négociée avec les entreprises pouvait sembler modeste, voire dérisoire. La mise en place d’un système de régulation, supposant échanges et transparence avec les pouvoirs publics, en responsabilisant les plateformes et en les rendant redevables, avait pour but de tenir le juge judiciaire à l’écart des questions de modération des contenus. La stratégie de non-coopération de Telegram conduit à l’inverse, logiquement, à redonner l’initiative au juge judiciaire… Ce qui nous rappelle que l’Internet n’est pas une zone de non droit. C’est au moins une incitation forte à davantage de respect de la régulation de la part des multinationales qui pensaient depuis des années que leurs conditions générales d’utilisation (CGU) devaient à la longue se substituer aux lois des territoires où résident leurs utilisateurs. Faisons le vœu ici que qu’entre l’anomie et les possibilités de surveillance généralisée offerte par les technologies, les standards démocratiques demeurent la norme.