Le BEREC, l'organisme européen qui coordonne le régulateur national des télécoms de chaque État membre, vient de publier ses lignes directrices finales relatives à l'application de la neutralité des réseaux.
Pour rappel, le règlement européen sur la neutralité du net adopté en novembre 2015 est extrêmement faible puisque consensuel. Ce sera donc aux régulateurs nationaux des télécoms, l'ARCEP en France, de définir les termes, les contours et les pratiques qui sont acceptables et celles qui ne le sont pas. C'est l'objet de ces lignes directrices : coordination européenne des régulateurs. Ensuite, tout cela permettra à ces mêmes régulateurs d'effectuer leur taff de régulation à proprement parler.
J'avais déjà analysé le brouillon des lignes directrices et j'avais tenté de synthétiser la position de la Fédération FDN. Ces lignes directrices ont été soumises à une consultation publique de mi-juin à mi-juillet. Celle-ci s'est achevée le 30 août 2016 par la publication des lignes directrices finales.
Globalement, que racontent ces lignes directrices finales ?
Globalement, je suis déçu. J'ai l'impression que la consultation n'a servie à rien. J'ai eu l'impression de relire le brouillon. Même signaler une parenthèse fermante manquante (paragraphe 167, ancien 164), comme l'a fait la FFDN, ne sert à rien ! On a aucun apport sur la liberté de choix du terminal. On a aucune précision sur l'exclusion des interconnexions du champ du traitement égal des flux. On est toujours sur une approche mollassonne et passive dans laquelle les régulateurs « peuvent » faire beaucoup de choses sans qu'il soit apporté de garanties qu'ils « doivent » le faire ni même qu'ils le feront. On a toujours aucune précision sur la manière de signaler des atteintes à la neutralité des réseaux ni sur la procédure pour contester une décision prise par un régulateur… … …
D'un autre côté, on peut se dire que, vu le lobbying des opérateurs télécoms qui y sont même allé à coup de chantage à la 5G, on s'en sort pas trop mal et que le BEREC a globalement tenu ses positions sur le traitement équitable des flux et sur les services gérés. Des bouts de texte changent mais l'on conserve toujours les points clés : l'accès à Internet est prioritaire sur les services gérés, ces derniers ne doivent pas nuire à la qualité du premier et si le FAI ne peut assurer la qualité du service d'accès à Internet + des services gérés, alors c'est les services gérés qui doivent dégager.
Mais, on ne peut pas se contenter d'une approche "on a évité le pire" car ce type d'approche est toujours délétère et il empêche d'imaginer un monde moins pire.
Si l'on met de côté le (non-)apport de la consultation publique, il faut reconnaître qu'on a des bouts de définitions intéressants (traitement équitable de tous les flux, mesures de gestion du trafic raisonnables, proportionnées, limitées dans le temps, pour un but bien précis) et des limites assez claires sur les services gérés (accès au net prioritaire, ne doit pas être dégradé, etc.). Le reste (ce qu'est un accès Internet soumis au règlement, liberté de choix du terminal, zéro-rating, supervision par les régulateurs nationaux, renforcement des pouvoirs des utilisateurs) est à revoir. Enfin, il y a les points qui restent flous : comment les régulateurs nationaux vont-ils agir ? Service minimal ou réels protecteurs de la neutralité des réseaux ? Quelle transparence dans leurs actions ? Quelle coordination européenne peut-on attendre autour d'une même problématique rencontrée par plusieurs régulateurs ?
Qu'est-ce qu'un accès à Internet soumis au règlement européen ?
- Paragraphe 8 et suivants : le BEREC ne change pas de position dans sa classification de ce qu'est un accès à Internet ou non et utilise toujours le critère de service ouvert à tous-tes (un accès à Internet restreint à un groupe de personnes n'est donc pas concerné). Le BEREC ajoute que les régulateurs peuvent prendre en compte la relation contractuelle et la gamme d'utilisateurs. L'angle de lecture n'est pas bon : il faut plutôt se demander quel est l'usage normal de l'accès à Internet, qui en est l'utilisateur final et la durée du contrat.
- Paragraphe 11 et 115 (ancien 111) : simplification et remaniement du blabla sur les VPN (on ne parle plus de VPN MPLS, de VPN d'entreprise, etc.) mais on conserve les deux points clé : c'est un service de communication électronique ouvert au public et s'il fournit du ternet, alors il est soumis au présent règlement.
- Paragraphe 16 : le BEREC a ignoré la remarque de la FFDN sur la nécessité d'avoir de l'IPv6 sur les services d'accès à Internet pour maintenir un Internet ouvert.
Globalement : on ne gagne rien mais on ne perd rien.
Généralités
- Paragraphe 20 : paragraphe ajouté. Je trouve que c'est un paragraphe bullshit puisqu'il indique que le règlement européen respecte la Charte des droits fondamentaux de l'Union européenne. Elle s'appliquait sans avoir besoin de le dire, àmha.
- Paragraphe 21 : paragraphe ajouté. Les FAI et FSI n'ont pas à demander une autorisation préalable à leur régulateur national en matière de pratiques commerciales, de pratiques de gestion du trafic et en matière de services gérés. Formuler comme cela, ça semble être du bon sens mais je crains que cela soit un marqueur supplémentaire de la passivité avec laquelle les régulateurs nationaux sont invités à faire appliquer ce règlement.
Liberté de choisir son terminal d'accès
Cette partie est toujours aussi incomplète : elle entretient le flou entre modem et box et donc sur la liberté de choix octroyée par le règlement (un terminal devrait être remplaçable s'il n'est pas prouvé qu'il est techniquement indispensable et limité à un usage précis, point). Comment le choix est-il garanti avec des FAI qui utilisent des VLAN et des attributs DHCP spécifiques ?! Les box actuelles permettent très bien d'accéder à des contenus, services et applications mais plus difficilement d'en diffuser alors que c'est un des droits inscrit dans le règlement européen !
Accords commerciaux
- Paragraphe 34 (ancien 32) : reformulation apparemment sans conséquence. On conserve l'idée que les accords commerciaux ne sont pas de nature à limiter les droits des utilisateurs dans les cas où les volumes de données et les vitesses restent agnostiques des applications (on applique pareil pour toutes les applications et services).
- Ajout du paragraphe 35 : exemples de pratiques commerciales qui sont susceptibles d'être OK : offre "soir et week-end" dans laquelle le trafic (de toutes les applications) n'est pas décompté du forfait et accès au service client du FAI pour acheter du volume supplémentaire quand le quota initial est dépassé. Ces exemples me semblent être OK.
Globalement : on ne gagne rien. On conserve les bons points comme le paragraphe 17 qui expose que toute offre qui prévoit un accès avec des services/applications/bouts d'Internet en moins est une offre de "sub-Internet" qui enfreint le règlement.
Zéro-rating
- Paragraphe 45 (ancien 42) : reformulation mais on conserve l'idée que tout ce qui affecte le choix de l'utilisateur ne limite pas forcément l'exercice de ses libertés. Dans tous les cas, choix matériellement réduit ou limite de l'exercice des libertés, le règlement prévoit que les régulateurs puissent agir.
- Paragraphe 46 (ancien 43) : dans le brouillon, l'un des critères que les régulateurs nationaux pouvaient utiliser pour évaluer si une offre de zéro-rating est de nature à limiter les droits des utilisateurs était « the effect on freedom of expression and media pluralism (ref. Recital 13). ». De la manière dont c'était présenté, cela s'appliquait aussi bien aux utilisateurs finaux qu'aux FSI. Dans la version finale, cela devient une phrase atténuée, « This may also concern the effect on freedom of expression and information, including media pluralism » dans une note de bas de page qui est utilisée dans une phrase qui traite uniquement des utilisateurs finaux ! Ce glissement sémantique a du sens.
Globalement, on garde le bon point qui est le blocage de toutes les applications/services (même celles des offres zéro-rating) lorsque le quota de volume de données échangées est atteint mais les problèmes demeurent :
- Approche attentiste et faible : on attend des cas précis et on verra bien, les régulateurs étudieront les problèmes au cas par cas, chacun dans leur coin et on verra si l'on en tire une règle commune ou non. Ça laisse des zones d'ombre sur l'application du Règlement et ça suppose que le marché saura se réguler tout seul donc que les régulateurs nationaux n'auront pas à intervenir. :(
- L'idée qu'une concurrence "déloyale" intersectorielle (entre deux applications ne jouant pas dans la même catégorie), conséquence d'une offre de zéro-rating est OK alors qu'une concurrence intrasectorielle (entre deux applications d'un même secteur) est moins OK, perdure. C'est une ânerie : tous les usages d'Internet (en termes de protocoles) sont importants, il ne faut pas en privilégier un plutôt qu'un autre. Pas plus qu'il ne faut privilégier un fournisseur d'une même catégorie d'applications (genre Facebook > Twitter) au détriment d'un autre comme le note le BEREC.
- L'idée fausse qu'augmenter le prix d'une catégorie d'applications crée une désincitation économique plus forte que d'offrir (zéro-rating) une catégorie d'applications, perdure ! :(
- zéro-rating must die!
Traitement égal du trafic
- Paragraphe 50 (ancien 47) : on a toujours aucune précision sur la portée de l'exclusion des pratiques des interconnexions du traitement égal des flux : une interconnexion entre opérateurs ne doit pas être analysée de la même manière qu'un service d'accès à Internet mais, d'un autre côté, des interconnexions équitables ou non, correctement dimensionnées ou non peuvent tordre le cou à un fournisseur de service au détriment des autres.
- Paragraphe 68 (ancien 65) : ajout d'un exemple évident d'une pratique de gestion du trafic basée sur un intérêt commercial donc pas autorisée : « quand la mesure de la gestion du trafic reflète les intérêts commerciaux d'un FAI qui propose certaines applications ou un partenariat avec un fournisseur de certaines applications ».
- Ajout du paragraphe 82 : les FAI peuvent être amenés à prendre des mesures exceptionnelles de gestion du trafic pour satisfaire à la législation, à la décision d'une autorité publique ou de la justice. Ces mesures doivent respecter la Charte des Droits fondamentaux de l'Union européenne et notamment le fait que des restrictions de droits et libertés peuvent être uniquement décidées par la loi. C'est toujours bien de le dire mais ça ne fait pas bouillir la marmite.
- Paragraphe 93 (ancien 89) : les régulateurs nationaux peuvent surveiller que les FAI dimensionnent correctement leur réseau. Entre le brouillon et la version finale, on passe de « should » à « may », ce qui amoindrit ce paragraphe, ce qui n'est pas anodin. De plus, l'examen du bon dimensionnement des réseaux est désormais cadré comme faisant partie de l'examen des pratiques de gestion de congestion. L'ancienne formulation laissait plus de liberté de mouvement aux régulateurs. :S
- Paragraphe 98 (ancien 94) : la gestion des données personnelles dans le cadre de mesures de gestion de trafic doit être conforme à la législation de l'EU concernant la protection des données personnelles. Nouveauté : ce n'est plus aux régulateurs de vérifier cette conformité mais à l'autorité publique compétente (la CNIL, en France ?). J'avais manqué ce point dans ma lecture du brouillon.
Globalement, on garde les bons points :
- Le FAI ne doit pas discriminer les flux chiffrés ni même regarder le contenu (au-delà de TCP) pour prendre des mesures de gestion du trafic.
- Les mesures de gestion du trafic ne doivent pas être basées sur des considérations commerciales.
- Toute pratique qui va au-delà de ces mesures raisonnables de gestion du trafic en bloquant, ralentissant, altérant, restreignant, qui interfère, dégrade ou discrimine certains contenus, applis ou services ou des catégories enfreint le règlement européen.
- Les régulateurs doivent surveiller si les opérateurs dimensionnent correctement leur réseau. Une congestion récurrente et de long terme ne peut être couverte par cette exception (paragraphe 89). Une gestion de congestion qui vise une appli ne devrait pas être acceptée comme substitue pour des changements structurels du réseau.
Les problèmes demeurent :
- le BEREC essaye toujours d'opérer un classement des mesures de gestion du trafic selon si elles sont prises sur le réseau ou en périphérie, ce qui n'a pas de sens. Et encore moins quand l'utilisateur n'a pas le contrôle complet de son terminal. Quid de DiffServ/IntServ où le marquage serait effectué sur le terminal et l'action de priorisation/congestion prise par le réseau ? Ce point est tenable uniquement si j'ai le contrôle total de mon terminal d'accès…
Services gérés
- Paragraphe 105 (ancien 101) : on rajoute un peu de flou, le régulateur national n'a plus à vérifier que les exigences en QoS d'un service géré mentionnées par un fournisseur sont plausibles juste qu'elles sont objectivement nécessaires « en relation avec l'application ».
- Paragraphe 108 (ancien 104) : c'est désormais le fournisseur d'un service géré qui « devrait » démontrer, suite à une demande du régulateur national, que les exigences en QoS de son service sont objectivement nécessaires pour assurer au moins l'une des fonctionnalités clés du service. Dans le brouillon, paragraphe 107 (devenu 111), c'était uniquement le régulateur qui devait vérifier que la livraison optimisée du service est objectivement nécessaire pour assurer au moins une fonctionnalité clé ou particulière du service.
- Paragraphe 110 (ancien 106) : un service géré n'est plus forcément fourni via une connexion isolée au niveau logique (un VLAN quoi) et cette connexion ne se caractérise plus par une utilisation de mesures de gestion du trafic. :( Qu'est-ce qui différencie un service géré, alors ? :))))
- Paragraphe 122 (ancien 118) : reformulation probablement réclamée par les grozopérateurs qui précise bien qu'un FAI ne peut pas être inquiété par son régulateur national quand un service géré impacte uniquement la qualité de la part de connexion dédiée à l'utilisateur.
Globalement, on garde les bons points :
- Une définition claire : un service géré est un service qui a des besoins spécifiques en qualité de service qui ne peuvent pas être assurés sur l'Internet best-effort. L'optimisation doit être objectivement (sur des critères techniques genre latence, gigue, etc.) nécessaire pour attendre le niveau de qualité contracté sur les fonctionnalités clés du service.
- Les services gérés ne remplacent pas un accès Internet et ils ne nuisent pas à la disponibilité et à la qualité globale de l'accès à Internet ni à court ni à moyen terme.
- La capacité du réseau doit être suffisante pour fournir le service en plus de l'accès à Internet et, si ça ne passe pas, c'est le service géré qui doit disparaître.
- Les régulateurs devraient vérifier si une application pourrait être fournie sur l'accès à Internet avec le même niveau de qualité en relation avec les besoins de l'application. L'évaluation se fait au cas par cas et est actualisée.
Mais des problèmes demeurent :
- Le paragraphe 122 (un service géré peut limiter la capacité d'un seul utilisateur tant qu'il est informé) aurait dû mourir : on ne peut en aucun cas limiter le trafic internet sinon l'utilisateur ne veut pas un accès internet mais un accès au service géré donc l'utilisateur n'a pas à acheter un accès à Internet et le FAI n'a pas à vendre un accès à un/des service-s comme un accès à Internet. L'analyse qui consiste à dire que l'utilisateur a souscrit à ce service spécialisé et que donc la diminution de la capacité de sa ligne est acceptable serait vraie uniquement si des offres non triple-play étaient accessibles (facilement identifiables dans les catalogues des FAI).
- Comme sur les offres de zéro-rating, les régulateurs ont du pain sur la planche puisqu'ils doivent évaluer chaque pratique et garder leur évaluation actualisée. Déni de service en vue. :(
Transparence
- Remaniement des définitions comme celle de la vitesse maximale sur le fixe ou la non-nécessité de procéder à des mesures intérieures et extérieures de la vitesse maximale estimée sur mobile.
Globalement, rien n'a changé et on a toujours la même débilité selon moi : dans la version concise des débits, l'opérateur peut choisir de communiquer ses débits vers des services et applications populaires. L-O-L. On aura le même biais qu'avec les testeurs de vitesse qui ont des mires de mesure dans les réseaux des gros FAI. Sans compter que le FAI mettra en avant ses plus belles interconnexions. Sans compter que ça fait de la pub pour un service donné, ce qui tend à renforcer la ou les positions dominantes sur un marché. Quid des autres ? Ils ne sont pas forcément plus mauvais…
Supervision
- Ajout du paragraphe 168 : de manière continue, le BEREC devrait favoriser l'échange des expériences entre les régulateurs nationaux concernant la mise en œuvre du règlement. C'est une jolie déclaration de principe, qui va dans le sens de ce que demande la FFDN mais on ne sait finalement rien : de quelle manière cet échange aura lieu ? Quel en sera le périmètre ? C'est bien flou.
Globalement, on a toujours aucune garantie sur les sujets suivants :
- Protection forte des droits par défaut sur les accès à Internet pour les particuliers car nous n'avons ni le temps ni le pouvoir de négociation.
- On note que les lignes directrices contiennent beaucoup plus de « may » que de « must » en ce qui concerne les missions des NRA donc on peut craindre un service minimal de défense des droits des utilisateurs finaux de leur part.
- Les lignes directrices ne prévoient pas des actions coordonnées dans l'UE entière ni d'observatoire commun des cas étudiés/sanctionnés. Chaque NRA va se débrouiller seule et risquer des conflits juridiques.
- Les lignes directrices ne prévoient pas de procédures qui seraient mises à la disposition des citoyen-ne-s pour faire remonter les atteintes à la neutralité. Quelles entités peuvent démarrer ces procédures ? Tout cela est laissé à la législation de chaque état membre. Quelles actions peuvent être entrepris par un-e citoyen-ne pour contester la décision d'un régulateur ?
Renforcer les pouvoirs des utilisateurs finaux
C'est un des credos de la FFDN : Tous-tes les citoyen-ne-s devraient pouvoir comprendre la neutralité du réseau, être en mesure de produire des données pour démontrer une atteinte et de faire remonter cela au niveau européen. Il faudrait un outil commun qui produirait des données comparables. Rien n'a avancé à ce sujet.