Droits et libertés, la CNIL torpille le projet de loi antipiratage

D'Albanel à Albaniet 166
logo cnilLe quotidien la Tribune publie une petite bombe ce matin : l’avis de la CNIL sur le projet de loi Hadopi. Cette publication tombe au plus mal pour la ministre de la Culture, si confiante en son texte. La Commission Informatique et Libertés le taille en effet en pièces dans un long avis particulièrement motivé.

Fin mai 2008, nous avions révélé que la Commission Informatique et liberté avait rendu un avis critique à l’encontre du texte défendu bec et ongles par Christine Albanel (notre actualité). Le gouvernement avait saisi la Commission Informatique et Libertés sur le fondement de l’article 11.4 de la loi de 1978 qui indique que la commission est « consultée sur tout projet de loi ou de décret relatif à la protection des personnes à l’égard des traitements automatisés ». Selon nos sources internes d'alors, la critique principale visait le problème de la proportionnalité entre l’atteinte à la vie privée (collecte de masse d’adresses IP, coupure de l’accès Internet) et le respect du droit de propriété (la protection des ayants droit), via une base de données personnelle monstre.

Ces critiques sont confirmées, et même surconfirmées lorsqu’on voit la teneur exacte de l’avis du 29 avril 2008 dans son intégralité..

Un projet qui se base sur des chiffres invérifiables

Avant toute entrée en matière, la CNIL rappelle qu’elle n’est pas juge de la légitimité du texte : ce qu’on lui demande c’est d'examiner si, au regard des finalités poursuivies, le mécanisme de traitement automatisé de données personnelles est proportionné et si toutes les garanties sont présentes notamment au regard de la liberté individuelle et donc du respect de la vie privée.

Immédiatement, la Commission met les pendules à l’heure : « Les seuls motifs invoqués par le gouvernement afin de justifier la création du mécanisme confié à l'HADOPI résultent de la constatation d'une baisse du chiffre d'affaires des industries culturelles. À cet égard, elle déplore que le projet de loi ne soit pas accompagné d'une étude qui démontre clairement que les échanges de fichiers via les réseaux « pair à pair » sont le facteur déterminant d'une baisse des ventes dans un secteur qui, par ailleurs, est en pleine mutation du fait notamment, du développement de nouveaux modes de distribution des œuvres de l'esprit au format numérique ».

En clair ? L’industrie de la Culture fournit des chiffres anxiogènes sur les relations P2P et vente de disque, le ministère de la Culture rédige un texte au petits oignons en se basant sur ces chiffres et le soumet à la CNIL, qui doit les croire sur paroles, avant d’apposer son sceau. Un procédé que refuse de suivre la Commisison. Mais le dépeçage ne s’arrête pas là.

Doutes sur les moyens de sécurisation

On sait que le projet du gouvernement va contraindre dans les faits l’abonné à mettre en place un outil de sécurisation proposé par l’Hadopi. Cet outil est fondamental, car son activation permettra à l’abonné d’échapper à la riposte si son adresse IP est retrouvée sur les réseaux P2P.

Pour la CNIL, si l’abonné doit prendre des précautions pour « d'empêcher que des tiers aient accès à leur poste informatique », il importe également « pour ne pas rendre cette obligation disproportionnée et excessive, de mettre à leur disposition les dispositifs appropriés pour assurer, sans contrainte excessive, la sécurisation de leur poste et de mettre en œuvre les actions d'information et d'accompagnement techniques nécessaires ».

Elle demande ainsi que ces outils « fassent l'objet d'une procédure d'évaluation certifiée ». On devrait ainsi savoir si ces outils seront par exemple valables sur tous les systèmes d’exploitation et leur solidité technique…

Des exonérations à la riposte graduée trop restrictives

Mais au-delà, la CNIL estime que la liste des exonérations prévues par la loi est trop restrictive. L’abonné menacé de suspension parce que son adresse IP a été repérée sur les réseaux P2P n’a que 3 moyens de défense : prouver une force majeure, prouver une fraude d’un tiers, ou prouver qu’il a mis en place un outil de sécurisation.

Cette liste « ne permet par d'appréhender les cas où l'internaute pourrait légitimement mettre à disposition un fichier protégé par les droits d'auteur, par exemple, parce qu'il est lui-même titulaire des droits sur l'œuvre » explique la CNIL.

Même remarque sur la possibilité d'accepter une transaction, qui permet à un abonné d’éviter la suspension d’un an. « Aucune précision n'est apportée sur les critères et les modalités pratiques de mise en œuvre de cette procédure »

Un risque de violation de la vie privée sur les postes de employés

Sur la nature des personnes concernées par l'obligation de surveillance, la CNIL explique qu’« au-delà des conséquences économiques et sociales que pourrait engendrer la suspension de l'abonnement internet d'une entreprise ou d'une collectivité locale, le respect, par l'employeur, de l'obligation de sécurisation des postes informatiques des employés comporte un risque de surveillance individualisé de l'utilisation d'internet et appelle en conséquence des garanties particulières sur les conditions de mise en œuvre effective de cette obligation vis-à-vis des employés concernés ».

Si l’on demande à l’employeur de surveiller les entrées et sorties de données de chaque poste, il y a donc un risque de scruter des données privées alors que la jurisprudence de la Cour de cassation a plusieurs fois rappelé que le salarié avait droit au respect de la vie privée sur son lieu de travail.

Des agents de l'HADOPI aux pouvoirs excessifs

La CNIL estime encore que les agents publics qui seront habilités à traiter les données fournies par les représentants des ayants droit sont dotés de pouvoir « excessifs ». « Le fait de mettre à disposition des agents précités les données de trafic ainsi que les données permettant d'identifier les personnes responsables de la mise en ligne d'un contenu, paraît porter une atteinte excessive à la protection des données à caractère personnel. »

Christine Albanel voulait retirer le filtrage des pouvoirs du juge pour le confier à l’Hadopi

Nous avons là une autre pièce hallucinante du projet Hadopi. Dans l’avis de la CNIL, on apprend ainsi que la ministre de la Culture voulait initialement donner à l’Hadopi, une haute autorité dite indépendante que ce texte institue, la possibilité d’exiger des FAI la mise en place de filtrage. Cette possibilité est actuellement dans les mains de la justice qui s’en serait retrouvée dépossédée. « La Commission relève qu'une telle disposition comporte un risque d'atteinte aux libertés individuelles, au rang desquelles figure la liberté d'expression, dans la mesure où elle donnerait la possibilité à l'HADOPI de demander à un intermédiaire technique de procéder au filtrage de contenus considérés comme portant atteinte aux droits d'auteur ».

La superposition des sanctions, un risque de disproportion

La CNIL constate que « sur la base de procès-verbaux constatant un même fait, la mise à disposition sur internet d'œuvres protégées par les droits d'auteur, les SPRD et les organismes de défense professionnelle pourront librement choisir de saisir l’Hadopi (…), le juge civil (…), le juge pénal ».

La Commission considère ne pas être en mesure de s'assurer de la proportionnalité d'un tel dispositif dans la mesure où «il laissera aux seuls sociétés de gestion collective et  aux organismes de défense professionnelle le choix de la politique répressive à appliquer sur la base d'un fondement juridique dont les contours sont mal définis ».

La ministre confond piratage et manquement à l’obligation de surveillance

« L'exposé des motifs indique que le projet de loi a pour objet la mise en œuvre d'un « mécanisme de prévention et de sanction du piratage », ce qui permet, là encore, de considérer que la frontière entre les notions de « piratage » et de « manquement à l'obligation de surveillance de sa connexion internet » n'est pas clairement établie » explique la CNIL. Nous avons plusieurs fois pointé ce défaut dans le champ lexical de la ministre qui n’hésite pas à confondre lutte contre la contrefaçon et sécurisation des lignes internet alors qu’il s’agit de deux obligations différentes. Mais il est vrai que la première définition passe mieux médiatiquement…

Une riposte non graduée

Le projet de loi, alors examiné par la CNIL, met en place « non une obligation mais une possibilité pour l'HADOPI d'adresser des messages d'avertissement puis de proposer une transaction avant d'aboutir à une sanction ». Ces critiques ont été encore adressées par les sénateurs.

Sur la mise en œuvre d'un traitement de suivi des procédures engagées par l'HADOPI et de la gestion d'un fichier national mutualisé d'exclusion

Le projet de loi Création et Internet prévoit la mise en place d’un répertoire national des abonnés dont l'accès à internet a été suspendu. Les FAI auront l’obligation de le consulter à l'occasion de la conclusion de tout nouveau contrat. La CNIL exige ici plusieurs garanties sur la mise en œuvre de ce fichier et des traitements qu’il incombe. « Seuls des incidents présentant une gravité certaine et prédéterminée pourront faire l'objet d'une inscription » recommande la CNIL.

Sur la mission d'observation de l'offre légale et de l'utilisation illicite d'œuvres

Le projet de loi prévoit la publication par l’Hadopi d’études sur les offres légales et l’utilisation illicite des œuvres. La Commission rappelle ce qui a été oublié : ces études devront faire l’objet d’une procédure devant la CNIL, afin, en clair, d’éviter que tout et n’importe quoi ne soit fait.

Une atteinte à la vie privée

Les agents de l’Hadopi seront dotés de super pouvoirs. Ils auront accès aux données de trafic conservées pendant un an par les opérateurs de communications électroniques, ils pourront solliciter des opérateurs l'identité du titulaire de l'abonnement utilisé à des fins illicites, et pourront aussi conserver ces données techniques pour la durée strictement nécessaire à l'exercice des compétences qui leur sont confiées et au plus tard jusqu’à un an.

La CNIL rappelle que le Conseil Constitutionnel avait expliqué que les données liées aux infractions ne pouvaient avoir de caractère nominatif que dans le cadre d’une procédure judiciaire. Procédure que veut absolument éviter Christine Albanel. « le projet de loi ne comporte pas en l'état les garanties nécessaires pour assurer un juste équilibre entre le respect de la vie privée et le respect des droits d'auteur » tacle la Cnil.

Dans le même sens, le projet de loi Hadopi permet de court-circuiter les garanties apportées par la loi sur la Confiance dans l’économie numérique. Le projet « attribue à des agents des compétences que jusqu'à (…)la loi précitée réservait uniquement aux autorités judiciaires agissant dans le cadre d'une procédure judiciaire ». C’est une nouvelle gifle : « la CNIL estime que le projet de loi ne comporte pas en l'état les garanties nécessaires pour assurer un juste équilibre entre le respect de la vie privée et le respect des droits d'auteur ».

Cette publication sera, on s’en doute, utilisée par les députés une fois le texte transmis à l’Assemblée nationale. La CNIL n’est pas la seule institution à avoir critiqué le projet de loi. : le Conseil d’État, l’Arcep, le Parlement européen une fois, deux fois, l’ISOC, l’ASIC, l’AFA et Free (et là et là, encore) ont tous tenus des positions critiques contre le texte.

Sauf un ou deux points comme le filtrage, la plupart des critiques adressées par la CNIL ont été ignorées par la ministre qui a opté pour une mission bulldozer.