Fibre et FAI associatifs : lettre ouverte de FFDN à Orange et l’Arcep

Nous republions ici la lettre ouverte de la fédération à destination de Sébastien Soriano (Arcep) et Stéphane Richard (Orange) :

Messieurs,

Le déploiement de la fibre optique suit son cours en France.

Comme le souligne la Commission dans la note C(2017) 8038 transmise à l’ARCEP le 24 novembre 2017 et disponible en ligne, il est en train de se constituer un réseau entre quelques opérateurs de boucle locale mutualisée, qui n’est pas accessible à bon nombre d’opérateurs, et donc de marchés. En particulier, l’absence d’une offre activée entraîne une réduction sensible de la diversité des offres, et donc un retard notable sur certains marchés (voir à ce sujet l’analyse de marché du fixe publiée par l’ARCEP, analyse à laquelle répondait la Commission).

L’autorité de la concurrence, dans son avis 12-A-02 du 17 janvier 2012, appelait à la vigilance du régulateur sectoriel sur l’existence des offres de gros indispensables à l’animation de la concurrence sur le marché, en particulier sur le fait que des offres activées (dites de bitstream) sont nécessaires. Ces offres permettent aux petits opérateurs de couvrir les marchés exigeants, parfois désignés comme marchés de niche, qui ne correspondent pas aux offres généralistes. Ces marchés existent tant chez les professionnels que chez les particuliers, et ne sont pas correctement couverts par les offres générales des grands opérateurs intégrés.

L’ARCEP a déjà établi des lignes directrices, publiées en décembre 2015, sur les tarifs d’accès activés dans le cadre d’une BLOM mise en place dans la cadre des réseaux d’initiative publique. Les réseaux d’initiative publique proposant, par principe, des offres de gros passives qui permettent aux grands opérateurs de répliquer leurs offres habituelles, ces lignes directrices donnent au moins un indice fort sur le tarif qui devrait être appliqué à une offre activée sur les zones AMII ou les zones très denses.

L’article L. 1425-1 du code général des collectivités territoriales impose aux réseaux d’initiative publique d’être accessibles sans discrimination aux opérateurs. L’absence d’une offre activée raisonnable empêche, dans nombre de cas, l’effectivité de ce droit. Ce point a d’ailleurs été ré-affirmé de manière claire par le législateur dans l’article 231 de la loi dite ELAN, qui vient modifier l’article L. 1425-1 du CGCT.

La position d’Orange sur le marché de la fibre optique est particulière. Orange opère en effet dans la totalité des zones AMII, et est délégataire pour de nombreux RIPs. Il se trouve par ailleurs que les technologies utilisées depuis plusieurs années par Orange dans les réseaux FTTH (PPPoE sur le vlan 835 livré sur les ONT des abonnés) est entièrement compatible avec une offre activée livrée en L2TP selon des usages déjà bien répandus dans la profession. Les techniques utilisées de manière plus récentes sont également compatibles avec des modes de livraison d’offres activées devenus classiques ces dernières années. L’obligation qui est faite aux RIPs de fournir une offre raisonnable, et donc pour les petits opérateurs une offre activée qui soit alignée avec les lignes directrices de l’ARCEP, est donc facilement atteignable pour Orange sur le plan technique.

L’indisponibilité d’une telle offre dans des conditions raisonnables est un indice fiable du rétrécissement du marché, de la détérioration durable de la concurrence et est de nature à inquiéter les autorités de régulation. En effet, le plan gouvernemental de couverture de la France en fibre optique a comme effet incontestable ce rétrécissement, et la reprise de positions dominantes d’Orange, à la fois sur l’infrastructure, et sur le marché de détail. Ces indices montrent un problème de concurrence.

Il nous semble donc qu’Orange est en mesure, par un choix volontariste mais simple et peu engageant, d’aider le régulateur à assainir le fonctionnement du marché du très haut débit pour les entreprises, ainsi que pour le marché de gros des particuliers destiné à servir les marchés « de niche ». L’ouverture d’une telle offre n’impose aucune modification des infrastructures, aucun investissement dans les équipements réseau, qui sont déjà en place, aucune nouveauté en matière d’ingénierie du réseau, et un investissement dans l’outil de commercialisation (force de vente, système d’information, etc) très raisonnable. Cet effort est probablement plus simple à mettre en oeuvre dès maintenant, avant que le régulateur n’ait été contraint d’agir par les autorités.

Ce choix, marque de bonne volonté d’Orange, serait de nature à démontrer que la fermeture du marché n’est pas le fait d’un dessein malveillant, qui pourrait être qualifié d’abus de position dominante, mais bien d’un aléa du séquencement des déploiements en cours et de la commercialisation des offres utiles. Ce choix serait par ailleurs une incitation puissante pour les autres délégataires de RIP ainsi que pour les autres opérateurs de BLOM, et devrait donc jouer un rôle fort pour assainir l’ensemble du marché.

Enfin, le fait pour Orange de proposer ces offres, de manière cohérente entre toutes les zones où Orange opère la boucle locale fibre, est un outil permettant de diversifier la base des utilisateurs de ces boucles locales. En effet, les marchés actuellement mal couverts se traduisent par un retard d’utilisation, c’est-à-dire des zones qui sont couvertes par le réseau fibre, mais qui ne sont pas utilisées sur ces marchés. Ce serait donc un choix de nature à améliorer, certes marginalement mais de manière sensible, le taux d’utilisation de ces réseaux.

Il nous semble donc que ce choix, relativement simple pour Orange, ne présente que des avantages pour l’ensemble des parties. Pour nos opérateurs, comme pour les autres opérateurs concernés, cela évite des contentieux et du retard dans l’utilisation de la fibre optique. Pour Orange, cela permet de montrer sa bonne volonté et d’améliorer le taux d’utilisation de la boucle locale optique, et pour l’ARCEP, cela permet d’assainir les marchés qui sont en train de se bloquer faute, pour la concurrence, de correctement fonctionner.

Restant à votre disposition pour en discuter s’il était besoin,

Pour la Fédération des fournisseurs d’accès à Internet associatifs,
Oriane Piquer-Louis, présidente de la Fédération
Benjamin Bayart, président de la Fédération

(21 octobre 2018)


Pour le rejet de l’article 19 de la LPM

Nous republions ici le communiqué de presse de la Fédération FDN, que Franciliens a participé à rédiger: ainsi que la Fédération, nous appellons également au rejet de l’article 19 de la Loi de Programmation Militaire 2019-2025.

La Fédération FDN appelle au rejet de l’article 19 de la LPM

Dans le cadre du projet de Loi de Programmation Militaire portant sur la période 2019-2025 [1], l’article 19 élargit les pouvoirs donnés à l’Agence Nationale pour la Sécurité des Systèmes d’Information (ANSSI), modifie le cadre législatif concernant les opérateurs, les hébergeurs, et touche donc au domaine d’activité de la Fédération des fournisseurs d’accès à Internet associatifs (dite Fédération FDN, ou FFDN).
En invoquant des exigences de sécurité des systèmes d’information, le texte prévoit la possibilité pour les opérateurs d’installer des sondes pour l’analyse du trafic, et la possibilité pour l’ANSSI de les exploiter. Dans un deuxième temps, l’article octroie également à l’ANSSI le droit de procéder à l’installation et l’exploitation de matériel auprès des opérateurs et des hébergeurs.
Alors que la Loi de Programmation Militaire de 2013 [2] avait autorisé l’ANSSI à toute action nécessaire pour organiser la défense à une attaque informatique, le texte en projet, sous couvert de répondre à des besoins de sécurité, autorise une analyse approfondie des flux et permet à l’ANSSI de s’implanter, si elle le souhaite, au cœur de l’infrastructure des opérateurs.

Si nous sommes en faveur d’une meilleure sécurité des équipements connectés à l’Internet – en particulier des objets connectés ainsi que des infrastructures critiques – les mesures évoquées posent de nombreux problèmes que la Fédération souhaite pointer :

Le texte est contraire au cadre juridique actuel

Esquivant toute formulation claire et précise, l’article laisse une très grande marge de manoeuvre à l’ANSSI, dont le directeur général, Guillaume Poupard, avoue souhaiter pouvoir effectuer des analyses jusque dans les pièces jointes des courriers électroniques. L’entrée en vigueur du texte dans sa version actuelle signifierait donc la fin du secret des correspondances.
Ce même niveau d’imprécision pose un autre problème, car les opérations d’analyse et marquage des flux préconisées par l’article permettent la mise en œuvre de discriminations qui sont incompatibles avec le réglement européen sur l’Internet ouvert.
Une observation automatisée du réseau directement au niveau des opérateurs constitue une forme de surveillance généralisée de l’ensemble du trafic (et donc des utilisatrices et utilisateurs) et n’apparaît pas proportionnée à la menace concernée. A notre sens, un tel dispositif n’est admissible, comme outil de détection des attaques, que s’il est utilisé avec le consentement explicite et éclairé de chaque utilisateur final concerné.

Aucun réel contrôle n’est instauré

Equipée de nouvelles prérogatives lui permettant d’agir sans entraves et de porter de graves atteintes aux libertés, l’ANSSI ne sera pas pour autant soumise à un strict contrôle de son action. Tout d’abord, le détail de ce qu’elle met en œuvre restera inconnu du public, l’ANSSI craignant, comme l’a indiqué Guillaume Poupard, que la transparence affecte son efficacité. Il est par ailleurs à souligner que ces nouveaux pouvoirs ne sont assortis d’/aucun/ mécanisme de sanction en cas d’abus, que ce soit du fait de l’ANSSI ou de l’un de ses agents. Seule l’Autorité de Régulation des Communications Éléctroniques et Postales (ARCEP) est chargée de veiller aux conditions de mise en place de ces mesures et nous ne pouvons que souligner que les simples remontrances d’une autorité administrative sont insuffisantes. L’ARCEP s’en inquiète elle-même dans son avis 2018-0101 du 30 janvier 2018 [5], soulignant l’absence totale de cadre de gouvernance pour ce contrôle et, qui plus est, l’inadéquation de l’ARCEP face à cette mission en l’état actuel de ses ressources humaines et financières.

L’impact sur les petits opérateurs est disproportionné

Si la loi de programmation militaire est un texte consacré avant tout à un encadrement budgétaire, l’article 19 semble se concentrer sur l’introduction de nouvelles exceptions aux libertés fondamentales alors qu’il en oublie les implications financières.
Notamment, le texte accorde à l’ANSSI la possibilité d’imposer aux opérateurs des actions dont le coût serait à leur charge. « Le coût marginal très faible » – d’après les mots de son directeur général – des actions que l’ANSSI serait en mesure de faire peser sur un opérateur n’est cependant pas tel lorsqu’il ne touche pas les grands acteurs du marché mais les FAI associatifs qui, opérant dans une optique de bien commun, disposent de budgets de fonctionnement bien plus réduits.

Par ailleurs, des considérations analogues sont à soulever pour les atteintes à la vie privée causées par ce texte. En effet, chez un opérateur comptant plusieurs millions d’abonné·e·s, les données de ceux-ci peuvent ne pas être immédiatement rapportables aux individus. En revanche, ce n’est pas le cas chez les opérateurs de petite taille dont le petit nombre d’utilisatrices et utilisateurs concerné·e·s facilite grandement leur observation, fine ou globale.
La mise à mal de ces petits acteurs est particulièrement malvenue, car, comme le reconnaît l’UNESCO [8], les opérateurs associatifs représentent un indicateur important de l’universalité de l’Internet dans les différents pays.

Le texte prépare le terrain pour de nouvelles atteintes à la neutralité du net

Alors que le débat sur la neutralité du Net est au cœur de l’actualité numérique depuis plusieurs années, la loi de programmation militaire remet en cause ce principe fondamental pour le fonctionnement d’Internet et le respect des libertés fondamentales. En effet, comme le souligne l’ARCEP dans son avis sur le texte, « pour produire tous ses effets, le dispositif envisagé pourrait mener à terme à la mise en place de mesures de gestion de trafic pour bloquer des flux malveillants. »
Or, cette automatisation d’un traitement différencié des paquets constitue une atteinte à la neutralité du Net, atteinte aggravée par le caractère flou et opaque exposé plus haut et sans garde-fous permettant de s’assurer d’une limitation au strict nécessaire d’un tel dispositif. À tout cela s’ajoute enfin le risque de faux-positif, dont aucun système ne saurait être à l’abri et qui aboutirait à une sur-censure de trafic ainsi qu’à une atteinte disproportionnée à la neutralité du Net.

Aucun recours effectif n’est mis en place

Le texte ne prévoit aucun recours pour les opérateurs et hébergeurs qui auraient des sondes de l’ANSSI installées sur leurs infrastructures. D’autre part, il n’existe pas de recours effectif pour les abonnés qui voudraient vérifier la légalité des mesures de surveillance mises en œuvre à leur encontre, alors qu’il s’agit d’une obligation réaffirmée par la Cour Européenne des Drois de l’Homme (§ 287, affaire Roman Zakharov c. Russie [6]).

Les équipements de surveillance seront des cibles de choix pour des attaques informatiques

Si le projet de loi prévoit des fortes atteintes aux libertés fondamentales et fait peser des menaces disproportionnées sur les petits acteurs de l’internet, il introduit aussi un autre risque important. En effet les équipements dont il autorise le déploiement pourraient être détournés de leur finalité par des personnes ou organisations malveillantes, comme tout équipement informatique. De par leur position privilégiée dans les réseaux des opérateurs et des hébergeurs, leur compromission offrirait un accès direct aux données de tous les Français. La mesure s’oppose donc à une véritable politique de défense des systèmes informatiques qui voudrait, au contraire, que l’on minimise les risques en évitant les systèmes ayant un accès disproportionné aux données transitant sur les réseaux.

En conclusion, la Fédération des fournisseurs d’accès à Internet associatifs reprend les remarques faites par l’ARCEP et par La Quadrature du Net [7] et ainsi souligne que l’article 19 de la Loi de Programmation Militaire menace aussi bien les libertés fondamentales des citoyens (vie privée, secret des correspondances) que l’intégrité du réseau Internet telle que protégée par le règlement européen sur l’Internet ouvert. Le texte, ayant recours à des termes et définitions trop vagues pour encadrer ces menaces de manière appropriée, ne prévoit pas non plus les instruments de contrôle ou de recours requis et adéquats.
Par ailleurs cet article, dont les mesures risquent d’introduire de nouveaux risques de sécurité et vont donc à l’encontre de l’intention affichée, se révèle aussi particulièrement inique et pénalisant pour les  dizaines de petits FAI et pour les milliers d’adhérents de la Fédération.
C’est pour ces raisons que cette dernière appelle au rejet de ce texte sous sa forme actuelle.

Sources

[1] Le texte du projet de loi de programmation militaire : https://www.defense.gouv.fr/content/download/523151/8769287/file/LPM%202019-2025%20-%20Projet%20de%20loi.pdf
[2] Article de LPM 2013 : https://www.legifrance.gouv.fr/affichCodeArticle.do?cidTexte=LEGITEXT000006071307&idArticle=LEGIARTI000028342546
[3] https://www.nextinpact.com/news/106233-du-deep-packet-inspection-dans-projet-loi-programmation-militaire-2019-2025.htm
[4] https://www.nextinpact.com/news/106115-comment-lanssi-compte-detecter-cybermenaces-chez-operateurs.htm
[5] Avis de l’ARCEP : https://www.arcep.fr/uploads/tx_gsavis/18-0101.pdf
[6] Avis de la CEDH pour l’affaire Zakharov : https://hudoc.echr.coe.int/eng?i=001-160008
[7] Avis de La Quadrature du Net : https://www.laquadrature.net/fr/Detection_cyberattaques_nouvelle_loi_surveillance
[8] Sur le rôle des FAI associatifs dans les indicateurs de l’universalité de l’Internet: https://netcommons.eu/?q=news/netcommons-unesco