NShare

Mise à jour 3 : la Quadrature du Net a elle-même déclaré TuNi54 grand gagnant de son concours d’e-mails Hadopi.

Mise à jour 2 : Après consultation du courrier dans son intégralité, il semble bien s’agir d’un mail authentique. S’il s’agit d’un fake, il est extrêmement bien réalisé. Nous n’avons pas encore eu le retour de l’Hadopi sur l’utilisation d’une adresse en .com, a priori contraire à ses usages.

Mise à jour : L’Hadopi utilisant le domaine Hadopi.fr et non Hadopi.com comme marqué en en-tête, il y a matière à doute de l’authenticité du mail. Nous attendons cependant un retour de l’Hadopi pour avoir confirmation.

Avec environ 20 millions d’accès à Internet en France, il y avait environ 0,004 % de chances d’être concerné par l’un des e-mails envoyés en ce début de semaine par la Haute Autorité pour la Diffusion et la Protection des Oeuvres sur Internet (Hadopi). Mais un grand gagnant s’est déjà signalé, sur le site du célèbre Korben. « En rentrant comme à mon habitude je fais un tour du côté de mes mails, et pafff deux emails d’hadopi. Première chose que je fais, je vérifie l’authenticité du document, malheureusement il l’est … adresse mail enregistrée par Hadopi et le contenu du mail est approuvé« , raconte TuNi54.

Il semble bien s’agir d’une recommandation authentique, envoyée par l’adresse [email protected] par un serveur SMTP de l’opérateur Orange, le 5 octobre autour de 18h20. Son destinataire ne saura pas en revanche les oeuvres piratées depuis son accès à Internet avant la réception d’un courrier postal le lui précisant, s’il en fait la demande.

Rappelons que si vous recevez une recommandation, nous avons mis en place le service Hadopi-Data.fr pour en faire part anonymement et permettre la constitution de statistiques visant à contrôler l’activité de la Haute Autorité. Numerama a également ouvert un forum d’entraide, aussi bien technique que juridique.

Mise à jour : l’information a été officiellement confirmée par la SCPP, qui parle de premières collectes d’adresses IP « dans les prochaines semaines »

La décision a été prise hier, lors d’une séance plénière de la CNIL où planait l’ombre du soupçon. Elle n’a pas encore été communiquée publiquement, la Commission se donnant pour principe de prévenir d’abord les parties intéressées du résultat de ses délibérations. Mais selon PC Inpact, qui a contacté la Société Civile des Producteurs Phonographiques (SCPP), la CNIL aurait validé « sans réserve » les quatre dossiers d’autorisation de collecte d’adresses IP sur les réseaux P2P.

Quatre organisations d’ayants droit avaient déposé fin avril leurs dossiers de demande d’autorisation de collecte d’adresses IP, indispensable à la mise en oeuvre de la riposte graduée par l’Hadopi. Il s’agit de demandes complémentaires aux autorisations déjà délivrées par la CNIL en 2007 et 2008 :

SACEM : Délibération n°2007-348 du 22 novembre 2007 autorisant  la mise en œuvre par la Société des Auteurs Compositeurs et Editeurs de Musique (SACEM) d’un traitement de données à caractère personnel ayant pour finalité la recherche et la constatation des délits de contrefaçon commis via les réseaux d’échanges de fichiers dénommés « peer to peer » (autorisation n°1091623).

ALPA : Délibération n°2007-298 du 11 octobre 2007 autorisant la mise en œuvre par l’Association de Lutte contre la Piraterie Audiovisuelle d’un traitement automatisé de données à caractère personnel ayant pour finalité la réalisation de statistiques concernant la circulation des œuvres audiovisuelles sur les réseaux d’échanges de fichiers dits de « pair à pair ». (demande d’autorisation 1108491)

SCPP : Délibération n°2007-334 du 8 novembre 2007 autorisant la mise en oeuvre par la Société Civile des Producteurs Phonographiques d’un traitement de données à caractère personnel ayant pour finalité la recherche et la constatation des délits de contrefaçon commis via les réseaux d’échanges de fichiers dénommés « peer to peer ». (autorisation n°1090042)

SPPF : Délibération n°2008-006 du 10 janvier 2008 autorisant la mise en oeuvre par la Société Civile des Producteurs de Phonogrammes en France (SPPF) d’un traitement de données à caractère personnel ayant pour finalité la recherche et la constatation des délits de contrefaçon commis via les réseaux d’échanges de fichiers dénommés « peer to peer » (autorisation n°1106668)

Il était difficile politiquement d’imaginer un refus par la CNIL, qui aurait bloqué une procédure préparée depuis plus de deux ans par le gouvernement et les industries culturelles, avec une pression très forte de la part des intéressés.

Cependant, il sera intéressant de lire les motifs (s’ils sont publiés) de la décision de la CNIL. Comme nous l’expliquions en détails à propos de la collecte massive d’adresses IP par l’INRIA, pour autoriser la collecte des adresses IP la CNIL doit vérifier la « proportionnalité » de la collecte par rapport à l’objectif poursuivi.

Or dans son avis sur loi Hadopi, la CNIL avait considéré ne « pas être en mesure de s’assurer de la proportionnalité d’un tel dispositif dans la mesure où il laissera aux seuls SPRD (sociétés de gestion collective, ndlr) et organismes de défense professionnelle le choix de la politique répressive à appliquer sur la base d’un fondement juridique dont les contours sont mal définis« . La Commission reprochait au gouvernement le fait que les ayants droit, avec un même listing d’adresses IP, puissent choisir soit de saisir l’Hadopi pour l’envoi d’un avertissement par mail ou l’éventuelle suspension de l’accès à Internet, soit de saisir la justice pénale pour une sanction allant jusqu’à trois ans d’emprisonnement.

S’il est vérifié que la CNIL a validé sans réserve les quatre dossiers, c’est qu’elle a finalement trouvé les moyens de de « s’assurer de la proportionnalité » du dispositif… 

Il y a quelques semaines, nous expliquions pourquoi les premiers mails d’avertissement aux abonnés à Internet dont l’accès est utilisé pour pirater ne pourraient pas partir au mois de juin, comme dit le souhaiter le gouvernement. C’est toujours vrai, mais la raison essentielle que nous évoquions ne devrait pas être le principal frein. Confrontée à l’impossible, la Haute Autorité pour la diffusion des oeuvres et la protection des droits sur Internet (HADOPI) devrait tenter le passage en force.

Accrochez-vous, tout est dans la nuance.

En effet, nous disions dans notre précédent article que pour envoyer ses e-mails, l’Hadopi devrait nécessairement attendre la publication du décret sur la procédure de labellisation des moyens de sécurisation des accès à Internet. Puis attendre que de premiers logiciels soient effectivement labellisés, ce qui prendra au minimum plusieurs semaines après la publication du décret. 

Pour affirmer cela, nous nous basions sur l’article L331-25 du code de la propriété intellectuelle qui dispose que l’avertissement envoyé par mail devra enjoindre l’abonné de « respecter son obligation (de sécurisation)« , et nécessairement l’informer sur « l’existence de moyens de sécurisation permettant de prévenir les manquements à l’obligation (de sécurisation)« . Puis l’article L331-26 du même code dit que l’Hadopi « après consultation des concepteurs de moyens de sécurisation destinés à prévenir l’utilisation illicite de l’accès à un service de communication au public en ligne (…) rend publiques les spécifications fonctionnelles pertinentes que ces moyens » de sécuriation « doivent présenter« .

Il dit aussi que l’Hadopi labellisera « les moyens de sécurisation » en prenant en compte « leur conformité aux spécifications visées » et « leur efficacité« . Etant donc sous-entendu, ce qui est évident, qu’un moyen de sécurisation n’est pas réputé efficace contre le piratage avant d’avoir été testé et approuvé par les services de l’Hadopi.

Cependant, il n’existe pas de lien parfaitement explicite et irréfutable dans la loi entre l’obligation d’informer l’abonné qui reçoit l’avertissement de l’existence « de moyens de sécurisation« , prévue à l’article L331-25, et la publication des « spécifications fonctionnelles pertinentes » que « des / les » moyens « doivent présenter« , prévue par l’article L331-26. En écrivant « ces moyens » ou « les moyens » plutôt que « les moyens visés à l’article L331-25″, le législateur a laissé une minuscule brèche que l’Hadopi pourrait exploiter, avec une mauvaise foi confondante.

Or selon nos informations, c’est exactement ce qu’elle compte faire. De source très proche de l’HADOPI, nous avons en effet appris que les premiers e-mails pourraient partir en informant simplement l’abonné que des moyens de sécurisation existent, sans lui dire ni lesquels ni comment les installer. Mais en lui précisant tout de même qu’une liste de moyens de sécurisation labellisés sera publiée un jour, plus tard, dans une autre vie. La belle affaire.

Devant l’impossibilité de labelliser des moyens de sécurisation bien incapables de montrer « leur efficacité » contre le piratage, l’Hadopi devrait donc se contenter d’avertir l’abonné sans l’instruire sur les moyens mis à sa disposition pour obéir à la loi. Une situation inique, qui rend toute condamnation par les tribunaux improbable.

Sur ce point, l’Hadopi elle-même ne croit pas que des dossiers d’abonnés avertis pourront un jour aller jusque dans les mains d’un juge. Par crainte qu’une relaxe pour manque de preuves ou par absence de moyens de respecter la loi ne soit prononcée et fasse s’écrouler tout l’édifice de la riposte graduée. Mais aussi par simple calcul statistique. Selon nos sources, seules 10 à 15 % des adresses IP relevées feront l’objet d’avertissements. Comme nous l’avions révélé l’an dernier, seul un échantillon des adresses sera conservé, par des méthodes algorithiques confidentielles  qui prendront notamment en compte les risques de récidives, ou l’origine géographique de l’IP prélevée. Or le nombre des adresses prélevées étant déjà limité, les chances de tomber de manière répétée dans les mêmes filets, puis d’être chaque fois pris dans l’échantillon retenu jusqu’à la saisine d’un juge sont sinon nulles, au moins très faibles.