Publié, le décret sur les verrous labellisés donne tout pouvoir à l'Hadopi

Pas de trêve 99
Marc Rees
En octobre dernier, PC INpact publiait en exclusivité le contenu du décret sur la labellisation des moyens de sécurisation. Le texte avait été notifié en secret à Bruxelles, mais une faille sur l’URL du site de la commission nous permettait d’en dévoiler et analyser le contenu. Ce 26 décembre, ce décret entre dans le droit positif : il vient tout juste d’être publié au journal officiel, lançant le point de départ des « verrous » labellisés. Ceux-ci sont importants puisque l'installation de l'un d'eux permettra à l’abonné de se couvrir (un peu) contre le risque Hadopi... et aux ayants droit de traquer et d’empêcher les échanges qu’ils jugent illicites.

décret labellisation hadopi verrous logiciels

Le décret 2010-1630 du 23 décembre 2010 est celui relatif « à la procédure d'évaluation et de labellisation des moyens de sécurisation destinés à prévenir l'utilisation illicite de l'accès à un service de communication au public en ligne »

Le texte prévoit toujours un dispositif d’agrément effectué à la demande de l’éditeur du verrou de sécurisation. Comme nous le révélions, le moyen de sécurisation aura l’obligation d’être pleinement « efficace », sous peine du rejet. Comprendre par là que le moyen devra répondre à l’objectif initial, celui d’empêcher ou prévenir le téléchargement illicite sur la ligne de l’abonné.

Centre agréé

La demande d’agrément se fera auprès d’un centre d’évaluation (payant) qui remettra après analyse du code et de tout l’écosystème du verrou, un rapport d’évaluation. Ces centres agréés suivant les textes relatifs à l’évaluation et à la certification de la sécurité offerte par les produits et les systèmes des technologies de l’information. Ils seront ainsi agréés (par l'ANSSI, l'Agence nationale de la sécurité des systèmes d'information.

Ce rapport sera ensuite soumis à l’Hadopi qui remettra dans les quatre mois un label, si le rapport est évidemment positif (comprendre : verrouille bien l’abonnement). C’est un agrément discrétionnaire, c'est-à-dire que l’Hadopi ne le délivrera que « lorsqu’elle estime établi que ce moyen est efficace et conforme aux spécifications fonctionnelles qu’elle a rendu publiques ».

Pouvoir discretionnaire de l'Hadopi

C’est une évolution importante puisque dans le document notifié à Bruxelles, le label était « de droit »

  • Texte notifié à Bruxelles : « La Haute Autorité délivre le label à l’éditeur du moyen de sécurisation dont le rapport d’évaluation établit qu’il est efficace et conforme aux spécifications fonctionnelles rendues publiques par la Haute Autorité en application du premier alinéa de l’article L. 331-26. » (copie du document)
     
  • Texte publié au Journal Officiel « La Haute Autorité délivre le label au moyen de sécurisation lorsqu’elle estime établi, au vu du rapport d’évaluation, que ce moyen est efficace et conforme aux spécifications fonctionnelles qu’elle a rendu publiques en application du premier alinéa de l’article L. 331-26. » 

La Hadopi dispose donc d’une grande liberté de manœuvre selon des critères qu’elle sera la seule à considérer : elle sera seule à "estimer établi" que le moyen est ou non efficace.

Colmater les trous en révisant les spécifications fonctionnelles

Et pour le cas où des bidouilleurs venaient à déplomber un verrou, la Hadopi pourra redéfinir ses critères : « Lorsque la Haute Autorité modifie les spécifications fonctionnelles que les moyens de sécurisation doivent présenter en application du premier alinéa de l’article L. 331-26, elle peut demander à l’éditeur d’un moyen de sécurisation labellisé de faire procéder à une nouvelle évaluation ».

Ainsi, comme nous le disions encore, le verrou sera bien condamné à une efficacité maximale, quasi absolue. Rappellons enfin que le moyen labellisé sera celui sur lequel les ayants droit souhaitent implémenter le filtrage par DPI. Avec cet effet mécanique : plus l'abonné sera sécurisé, plus il sera surveillé.

(Nous reviendrons sous peu sur ce document. )