Hadopi : vers un triple contrôle de TMG, mais quid du passé ?

Fraus omnia corrompit 91
Marc Rees
L’Hadopi nous a décrit lors d’un échange téléphonique le futur plan de crise pour répondre aux brèches de sécurité découvertes le week-end dernier chez Trident Media Guard (TMG). Cette entreprise, rappelons-le, est chargée par les ayants droit de flasher les adresses IP sur le P2P, IP qui sont ensuite consignées dans un PV par les ayants droit puis envoyées à la HADOPI de manière automatisée.

En réaction à la faille de sécurité dans au moins un des serveurs de TMG, la Hadopi nous a annoncé un triple contrôle va être mené chez  cette entreprise nantaise :
  • Un contrôle sur place de la CNIL sur le traitement des données personnelles.
  • Un « contrôle de sécurité global » mené par les ayants droit.
  • La nomination toute prochaine d’un expert judiciaire chargé d’examiner la méthode de collecte.
Cette nomination d’un expert judiciaire nous avait déjà été annoncée par la Hadopi en janvier 2011, lors d’une conférence de presse rue de Texel. La Hadopi affirmait avoir visité les locaux de TMG pour voir comment se déroulait le processus en amont :
« On a voulu voir sur place comment ça marchait. Dans le courant du trimestre, les agents de la CPD sont allés à Nantes, chez TMG, voir comment cela fonctionnait, comment étaient récupérées les adresses IP. Il nous fallait des réponses sur un certain nombre de questions, la façon dont ont été dressés les PV, ces PV qui font 3 pages. Et je dois dire qu’à 100%, nous n’avons aucun doute sur la façon dont sont recueillis et établis les PV avec les ayants droit. » (Mireille Imbert Quaretta, présidente de la Commission de protection des droits, CPD, 12 janvier 2011).
Nous regrettions alors de ne pas avoir de détail sur le mode opératoire, mais la CPD se voulait très rassurante :
« Nous avons décidé avec les ayants droit, pour calmer toutes les interrogations, de confier à un expert indépendant le soin de vérifier la garantie du péchage des adresses IP. »
Cinq mois pour passer de l'idée à l'acte

La HADOPI a donc attendu près de cinq mois pour passer de l’idée (la future nomination) à l’acte (la nomination), avouant hier "nous ignorons ce qu'il se passe réellement dans les serveurs de TMG" (ceux faillibles, et par extension tous les autres)
 
Restons sur cette expertise à venir. Rappelons encore que dans un fameux rapport, la CNIL regrettait que « les seules procédures d'audit prévues sur le système de TMG sont des audits internes trimestriels par les SPRD » les Sociétés de Perception et de Répartition des Droits d'auteur, clientes de TMG.

Un contrôle effectué avant la mise en route du processus Hadopi

De l’aveu même de la SCPP, SPRD représentante des plus puissants producteurs de musique (dont Universal), les ayants droit ont effectivement mené un contrôle interne chez TMG mais seulement avant la mise en production de la collecte d’IP. Comme si on pouvait se satisfaire de la vérification en usine d’un radar autoroutier qui fonctionnerait ensuite sans contrainte ni certification. Certes, les premiers mails ne sont que « pédagogiques », mais nous sommes loin des bancs de l’école : ces mails sont la première étape d’une procédure pénale pouvant mener à une suspension d’accès accompagnée de 1500 euros d’amende.

Quid des autres serveurs ?


Du coup, une avalanche de questions se posent : pourquoi avoir attendu la faille de ce week-end pour se questionner sur la fiabilité des données collectées ? TMG affirme que la faille a touché un serveur de test dédié à la recherche et au développement, mais quid des autres serveurs ? Le triple contrôle programmé va permettre à l’Hadopi de sacraliser les flashages à venir, mais qu’est ce qui garantit au citoyen que ceux effectués jusqu’alors ne l’ont pas été sur une base incorrecte?

Surtout pas d'enquête

Rapprochons enfin ces questions avec l'instruction Hadopi qui fut adressée l'été dernier aux Parquets par la Chancellerie : « dans le double objectif d’assurer la rapidité de la réponse pénale et de veiller à ce que le nouveau dispositif ne conduise à un engorgement des services de police et de gendarmerie, il conviendra d’éviter, sauf cas particulier, qu’une seconde enquête soit diligentée par ces services. »

chancellerie enquête hadopi

Le ministère de la Justice assurant que « les éléments fournis (…) sont suffisants pour caractériser la contravention de négligence caractérisée à l’égard du titulaire de la ligne et pour assurer le caractère contradictoire de la procédure »

Les milliers d'emails adressés jusqu'à la réalisation du triple contrôle ne bénéficieront donc d'aucune vérification ni d'aucune enquête supplémentaire une fois le dossier au Parquet. Du coup, ne serait-il pas clairement légitime d’annuler l’ensemble des dossiers en cours ?