Dans un billet particulièrement bien étayé, la Quadrature du net vient faire le point sur le dossier Hadopi. Alors que par monts et par vaux, le secrétaire général de l’autorité tout comme le ministère de la Culture, claironnent que la riposte va commencer, de nombreux couacs cassent la cavalcade.
On ne reviendra pas sur les décrets dont l’application est une superbe cacophonie, entre les recours de FDN et les critiques des FAI qui attendent que soient pris en charge leurs coûts. La Quadrature met plutôt l’accent sur une plaie toujours béante, surinfectée, le principe même de ce texte, le défaut de sécurisation.
L’initiative citoyenne rappelle que depuis Hadopi 2, « il appartiendra à l’accusation de prouver l’infraction d’absence de sécurisation de l’accès internet, puni par une contravention de cinquième classe pour négligence caractérisée. En d’autres termes, ce sera au parquet d’apporter des preuves que l’internaute pris dans les filets de Trident Media Guard n’avait pas mis en œuvre un quelconque moyen de sécurisation ».
Le défaut de sécurisation est en effet un élément constitutif de l’infraction de négligence caractérisée et il reviendra à l’accusation de démontrer son existence à un stade ou l’autre de la procédure. Et peu importe que l’abonné ait ou non installé un logiciel de sécurisation labellisé. Le déroulement hoquetant d’Hadopi 1 et 2 a fait qu’aujourd’hui, l’installation d’un tel software pourra donc ne pas suffire à l’abonné pour démontrer son innocence. Pourquoi ? Car juridiquement l’installation d’un tel logiciel labellisé n’est pas dans les éléments constitutifs de l’infraction. « Il n’y a pas de lien dans la loi entre l’envoi des mails et la labellisation des moyens de sécurisation » nous confiait Mireille Imbert Quaretta, présidente de la CPD, en marge d'une conférence de presse à la Hadopi.
Du coup, la Quadrature recommande de ne pas installer ce système puisque « celui-ci ne disculpe pas automatiquement l’internaute – présomption d’innocence oblige – mais, au contraire, il pourrait fournir des éléments de preuve à l’accusation ». La désactivation du logiciel devrait en effet être « consignée dans un journal inviolable et non modifiable par l’internaute, que seul un tiers de confiance pourrait rendre lisible ». Un tel journal est en effet déjà prévu par le Pr Riguidel, celui à qui la Hadopi a confié la mission de plancher sur la sécurisation et le filtrage (p.27 du document).
Alors ? « Les seuls éléments de preuve que l’Hadopi pourrait fournir au parquet seraient les propres aveux de l’internaute incriminé ou le relevé d’adresse IP horodaté, recueilli par TMG ». Notre actualité ce matin a encore montré combien cette horodatage à distance était fragile, du coup, « on ne voit pas bien, en l’absence de toute enquête supplémentaire, comment ceux-ci seraient suffisamment solides pour établir la culpabilité des internautes. À moins, d’aveux des internautes en personne ou des « mouchards filtrants » qu’ils auraient eu la saugrenuité d’installer ».
Un serpent, une queue, des dents
C’est à ce stade que le billet lumineux de la Quadrature du Net mérite une attention encore plus grande. Elle montre, selon l’expression de l’initiative, comment le serpent se mord vicieusement la queue.
Pour envoyer un avertissement, l’Hadopi doit demander aux FAI les coordonnées des abonnés dont l’adresse IP a été repérée par la société TMG. Depuis le décret du 26 juillet 2010 relatif à la procédure, l’article R331-37 du Code de la propriété intellectuelle impose aux FAI de communiquer les données nominatives d’un abonnement qui « a été utilisé à des fins de » contrefaçon.
Ce petit bout de phrase est fondamental. « Partout ailleurs, dans les lois Hadopi 1 et Hadopi 2, dans les décrets d’application (….) lorsqu’une éventuelle infraction est mentionnée, elle est toujours bien qualifiée de « susceptible ». Implicitement, cette infraction ne devient avérée que lorsqu’une décision de justice l’a établie ». CQFD.
Résultat ? « La loi pénale étant d’interprétation stricte, l’article R331-7 CPI ne peut être compris que comme obligeant les FAI à fournir à l’Hadopi les coordonnées d’un abonné qu’une fois qu’il aura été établi qu’une contrefaçon avait eu lieu et l’implication de l’accès Internet d’une personne particulière ». Ouille.
Sale contretemps pour les amateurs de traitement de masse.
Problème de taille numéro 2 : la Hadopi ne constate pas la matérialité des infractions. On sent rapidement le mauvais vent soufflant rue du Texel.
La Loi Hadopi 2 à l’article L331-21-1 CPI, précise que les membres de la Commission de protection des droits « peuvent constater les faits susceptibles de constituer des infractions ».
La Quadrature rebondit : « En aucun cas, l’Hadopi n’a le pouvoir de juger de la matérialité d’une contrefaçon, ni que celle-ci a été opérée via l’accès Internet d’une personne particulière. Le ferait-elle qu’il y aurait tout lieu de dénoncer la présomption de culpabilité dont elle ferait alors preuve ». Présomption qui fut torpillée lors d’Hadopi 1 par le Conseil constitutionnel. Re-ouille.
La machine Hadopi se retrouve du coup grippée par le pont que tente de dresser le ministère de la Culture, entre contrefaçon et négligence caractérisée. « L’artifice, employé dès l’origine des lois Hadopi et consistant à punir non l’acte de contrefaçon, mais la non-sécurisation de l’accès Internet par lequel cette dernière aurait été opérée, cet artifice tombe à l’eau. Car dans tous les cas, la contrefaçon doit être prouvée et établie. De même, il doit être prouvé et établi que l’accès Internet d’une personne particulière a été utilisé lors de la commission de cette contrefaçon. Sinon, il ne peut être imputé un manquement à l’obligation de sécuriser son accès Internet. L’absence de sécurisation découle en effet de la constatation qu’une contrefaçon a été commise via cet accès Internet. Et seul un juge peut établir ces faits, d’après les preuves apportées par le parquet ou par les représentants des ayants droit lors d’une procédure civile ».
« A été utilisée » ; un critère très susceptible
En clair : pour qu’il y ait défaut de sécurisation, il faut démontrer en amont que la ligne « a été utilisée » pour des actes de contrefaçon, et non pas seulement « pour des faits susceptibles » d’être qualifiés comme tel. Et voilà comment les ayants droit vont devoir avoir recours à quantité de procédures en contrefaçon pour armer convenablement le système Hadopi de vraies cartouches qui font peur, et non des balles à blanc.
Conclusion de LQN : « Le Conseil constitutionnel avait autorisé le traitement automatisé reliant les coordonnées d’un internaute à une contrefaçon que dans la mesure où l’Hadopi intervenait préalablement à une action en justice. Mais la contravention de négligence caractérisée pour non-sécurisation de son accès Internet ne peut être prononcée que suite à la réitération d’un acte pour lequel l’Hadopi a déjà envoyé une recommandation. Par conséquent, le simple fait pour l’Hadopi d’envoyer un avertissement fait grief et est partie intégrante à la procédure judiciaire. Ce qui serait contraire à la décision du Conseil constitutionnel, si une décision de justice n’a pas autorisé préalablement cet envoi d’avertissement ».
(Sur ce même thème on pourra relire l'excellent billet de Maitre Eolas.)
On ne reviendra pas sur les décrets dont l’application est une superbe cacophonie, entre les recours de FDN et les critiques des FAI qui attendent que soient pris en charge leurs coûts. La Quadrature met plutôt l’accent sur une plaie toujours béante, surinfectée, le principe même de ce texte, le défaut de sécurisation.
L’initiative citoyenne rappelle que depuis Hadopi 2, « il appartiendra à l’accusation de prouver l’infraction d’absence de sécurisation de l’accès internet, puni par une contravention de cinquième classe pour négligence caractérisée. En d’autres termes, ce sera au parquet d’apporter des preuves que l’internaute pris dans les filets de Trident Media Guard n’avait pas mis en œuvre un quelconque moyen de sécurisation ».
Le défaut de sécurisation est en effet un élément constitutif de l’infraction de négligence caractérisée et il reviendra à l’accusation de démontrer son existence à un stade ou l’autre de la procédure. Et peu importe que l’abonné ait ou non installé un logiciel de sécurisation labellisé. Le déroulement hoquetant d’Hadopi 1 et 2 a fait qu’aujourd’hui, l’installation d’un tel software pourra donc ne pas suffire à l’abonné pour démontrer son innocence. Pourquoi ? Car juridiquement l’installation d’un tel logiciel labellisé n’est pas dans les éléments constitutifs de l’infraction. « Il n’y a pas de lien dans la loi entre l’envoi des mails et la labellisation des moyens de sécurisation » nous confiait Mireille Imbert Quaretta, présidente de la CPD, en marge d'une conférence de presse à la Hadopi.
Du coup, la Quadrature recommande de ne pas installer ce système puisque « celui-ci ne disculpe pas automatiquement l’internaute – présomption d’innocence oblige – mais, au contraire, il pourrait fournir des éléments de preuve à l’accusation ». La désactivation du logiciel devrait en effet être « consignée dans un journal inviolable et non modifiable par l’internaute, que seul un tiers de confiance pourrait rendre lisible ». Un tel journal est en effet déjà prévu par le Pr Riguidel, celui à qui la Hadopi a confié la mission de plancher sur la sécurisation et le filtrage (p.27 du document).
Alors ? « Les seuls éléments de preuve que l’Hadopi pourrait fournir au parquet seraient les propres aveux de l’internaute incriminé ou le relevé d’adresse IP horodaté, recueilli par TMG ». Notre actualité ce matin a encore montré combien cette horodatage à distance était fragile, du coup, « on ne voit pas bien, en l’absence de toute enquête supplémentaire, comment ceux-ci seraient suffisamment solides pour établir la culpabilité des internautes. À moins, d’aveux des internautes en personne ou des « mouchards filtrants » qu’ils auraient eu la saugrenuité d’installer ».
Un serpent, une queue, des dents
C’est à ce stade que le billet lumineux de la Quadrature du Net mérite une attention encore plus grande. Elle montre, selon l’expression de l’initiative, comment le serpent se mord vicieusement la queue.
Pour envoyer un avertissement, l’Hadopi doit demander aux FAI les coordonnées des abonnés dont l’adresse IP a été repérée par la société TMG. Depuis le décret du 26 juillet 2010 relatif à la procédure, l’article R331-37 du Code de la propriété intellectuelle impose aux FAI de communiquer les données nominatives d’un abonnement qui « a été utilisé à des fins de » contrefaçon.
Ce petit bout de phrase est fondamental. « Partout ailleurs, dans les lois Hadopi 1 et Hadopi 2, dans les décrets d’application (….) lorsqu’une éventuelle infraction est mentionnée, elle est toujours bien qualifiée de « susceptible ». Implicitement, cette infraction ne devient avérée que lorsqu’une décision de justice l’a établie ». CQFD.
Résultat ? « La loi pénale étant d’interprétation stricte, l’article R331-7 CPI ne peut être compris que comme obligeant les FAI à fournir à l’Hadopi les coordonnées d’un abonné qu’une fois qu’il aura été établi qu’une contrefaçon avait eu lieu et l’implication de l’accès Internet d’une personne particulière ». Ouille.
Sale contretemps pour les amateurs de traitement de masse.
Problème de taille numéro 2 : la Hadopi ne constate pas la matérialité des infractions. On sent rapidement le mauvais vent soufflant rue du Texel.
La Loi Hadopi 2 à l’article L331-21-1 CPI, précise que les membres de la Commission de protection des droits « peuvent constater les faits susceptibles de constituer des infractions ».
La Quadrature rebondit : « En aucun cas, l’Hadopi n’a le pouvoir de juger de la matérialité d’une contrefaçon, ni que celle-ci a été opérée via l’accès Internet d’une personne particulière. Le ferait-elle qu’il y aurait tout lieu de dénoncer la présomption de culpabilité dont elle ferait alors preuve ». Présomption qui fut torpillée lors d’Hadopi 1 par le Conseil constitutionnel. Re-ouille.
La machine Hadopi se retrouve du coup grippée par le pont que tente de dresser le ministère de la Culture, entre contrefaçon et négligence caractérisée. « L’artifice, employé dès l’origine des lois Hadopi et consistant à punir non l’acte de contrefaçon, mais la non-sécurisation de l’accès Internet par lequel cette dernière aurait été opérée, cet artifice tombe à l’eau. Car dans tous les cas, la contrefaçon doit être prouvée et établie. De même, il doit être prouvé et établi que l’accès Internet d’une personne particulière a été utilisé lors de la commission de cette contrefaçon. Sinon, il ne peut être imputé un manquement à l’obligation de sécuriser son accès Internet. L’absence de sécurisation découle en effet de la constatation qu’une contrefaçon a été commise via cet accès Internet. Et seul un juge peut établir ces faits, d’après les preuves apportées par le parquet ou par les représentants des ayants droit lors d’une procédure civile ».
« A été utilisée » ; un critère très susceptible
En clair : pour qu’il y ait défaut de sécurisation, il faut démontrer en amont que la ligne « a été utilisée » pour des actes de contrefaçon, et non pas seulement « pour des faits susceptibles » d’être qualifiés comme tel. Et voilà comment les ayants droit vont devoir avoir recours à quantité de procédures en contrefaçon pour armer convenablement le système Hadopi de vraies cartouches qui font peur, et non des balles à blanc.
Conclusion de LQN : « Le Conseil constitutionnel avait autorisé le traitement automatisé reliant les coordonnées d’un internaute à une contrefaçon que dans la mesure où l’Hadopi intervenait préalablement à une action en justice. Mais la contravention de négligence caractérisée pour non-sécurisation de son accès Internet ne peut être prononcée que suite à la réitération d’un acte pour lequel l’Hadopi a déjà envoyé une recommandation. Par conséquent, le simple fait pour l’Hadopi d’envoyer un avertissement fait grief et est partie intégrante à la procédure judiciaire. Ce qui serait contraire à la décision du Conseil constitutionnel, si une décision de justice n’a pas autorisé préalablement cet envoi d’avertissement ».
(Sur ce même thème on pourra relire l'excellent billet de Maitre Eolas.)