Hadopi, la SCPP, le filtrage et la CNIL: un ou deux compléments...

Titanic et violon 47
Marc Rees
À l'occasion de cette journée un peu folle, revenons l’espace d’un instant sur le communiqué de la Hadopi. Deux pages pour dénoncer les petits plans de la SCPP, esquissés par Marc Guez, son président, dans une interview de 01net du 30 juin : « nous travaillons pour cela sur des logiciels de filtrage qui pourront être installés dans les entreprises ou sur l’ordinateur familial. Notez qu’il s’agit donc d’un filtrage volontaire » (notre analyse). Sur le net, on salue cette sincérité, on considère que la Hadopi a remis en place la SCPP, etc. Notre approche est un peu différente. Tour d'horizon.

hadopi ministere culture installation
1. D'autres logiciels de filtrage existent, où est le communiqué ? La Hadopi se plaint que des ayants droit veulent développer un logiciel de filtrage dans leur coin. Problème : d’autres logiciels ont été annoncés dans le passé. La Hadopi n’a jamais émis la moindre critique sur le principe même de ces solutions. Pourquoi le faire aujourd’hui à partir d'une simple déclaration ?

2. La SCPP a testé le filtrage par DPI en Allemagne, l'a présenté à Bruxelles :
En septembre 2010, nous révélions que des tests de filtrage avaient été effectués en Allemagne par la SCPP et Vedicis. Mieux. Ils avaient été présentés à Bruxelles. Réaction de l’Hadopi ? Rien. Silence radio.

3. Le filtrage dans les box, le silence de l'Hadopi.
On continue ? Fin mars 2011, Sylvie Forbin, lobbyiste en chef de Vivendi, le propriétaire d’Universal, déclarait à l’UNIFAB : « Il y a une autre mission de l’Hadopi, dont nous attendons beaucoup. C’est de publier très rapidement les fameuses spécifications techniques qui vont permettre aux fournisseurs d’accès d’intégrer dans leurs nouvelles offres de prochaines générations, une sécurisation. » Universal traçait la voie (un filtrage dans la box) sans même attendre les conclusions de la mission Riguidel. Nous étions dans la salle. Quelle fut alors la réaction de Marie Françoise Marais, assise à ses côtés ? Rien. Le filtrage dans les box version Hadopi serait donc légitime, non le filtrage décidé par un abonné séduit par une initiative privée ?

4. Le filtrage de la SCPP est volontaire, comme celui de l'Hadopi
: Le filtrage qu’esquisse la SCPP est basé sur le volontariat : l’adopte qui veut, qui peut. C’est exactement la même chose pour le logiciel labellisé par Hadopi que l’abonné sera libre d’installer. Quel est le pire ? Quel est le meilleur ? Dans tous les cas, l’usage d’un moyen de sécurisation n’empêchera pas la phase 3 (la suspension). En effet, une connexion peut être suspendue même si l’abonné l’estime « sécurisée ». C’est le charme de la loi Hadopi.

Malgré le coup de sang de la Rue de Texel, rien n’empêchera la Hadopi, après mai 2012, de réactiver la question du moyen de sécurisation labellisé en se rapprochant de l’inévitable SCPP (représentant des producteurs de musique comme Universal, Sony, etc.).

5. La Hadopi doit être informée... ou doit s'informer ? Attachons-nous à ce passage du communiqué  « Le législateur a confié à l’Hadopi la mission d’encadrer la définition et la mise à disposition du public de solutions techniques de protection des droits de propriété intellectuelle par la voie de l’évaluation des expérimentations, de la publication de spécifications et de la labellisation des solutions conformes en application des articles L331-23 et L331-26 du Code de la Propriété Intellectuelle (CPI). Elle doit donc être tenue informée des expérimentations en cours entrant dans le champ de l’article L331-23 du CPI, en particulier celles de logiciels de filtrage dont il a été publiquement fait état, et ce pour lui permettre, conformément à la Loi, de remplir sa mission et d’en rendre compte ».

N’est-il pas présomptueux pour la Hadopi de faire croire aux acteurs privés qu’ « elle doit être tenue informée des expérimentations en cours (…) pour lui permettre (…) de remplir sa mission et d’en rendre compte » ? Rien dans la loi n’implique une telle obligation. Dans l’article 331-23, il est simplement dit que :
La Hadopi « évalue, en outre, les expérimentations conduites dans le domaine des technologies de reconnaissance des contenus et de filtrage par les concepteurs de ces technologies, les titulaires de droits sur les œuvres et objets protégés et les personnes dont l'activité est d'offrir un service de communication au public en ligne. Elle rend compte des principales évolutions constatées en la matière, notamment pour ce qui regarde l'efficacité de telles technologies, dans son rapport annuel prévu à l'article L. 331-14.

Elle identifie et étudie les modalités techniques permettant l'usage illicite des œuvres et des objets protégés par un droit d'auteur ou par un droit voisin sur les réseaux de communications électroniques. Dans le cadre du rapport prévu à l'article L. 331-14, elle propose, le cas échéant, des solutions visant à y remédier
».
Ainsi, la Hadopi n’a pas à être informée. Par contre, elle doit s’informer elle-même, toute seule, à l’aide de son budget public, de ses petits bras, de ses moyens. C’est sa mission. Interrogé sur ce point, Eric Walter a refusé de rentrer dans des « arguties » juridiques en nous invitant à échanger avec Marie Françoise Marais et Mireille Imbert Quaretta lors de la prochaine conférence le 11 juillet prochain (conférence sans doute organisée pour le bilan annuel de la Hadopi).

6. Des verrous dans le cadre légal, d'autres hors cadre légal
: Revenons en attendant sur le passage « La conception et le déploiement de technologies de filtrage sont des questions hautement complexes et sensibles de nature à atteindre la neutralité, la sécurité des réseaux ou encore la protection de la vie privée. C’est la raison pour laquelle l’Hadopi ne pourrait que déconseiller aux utilisateurs de recourir à des solutions de reconnaissance des contenus et de filtrage réalisées en dehors du cadre légal ».

Une formulation qui laisse croire par une lecture rapide que seul le verrou labellisé par Hadopi sera « dans le cadre légal » : en déplaise à l’Hadopi, un logiciel non labellisé est tout autant « dans le cadre légal » puisqu’il n’est interdit par personne.

7. Possible atteinte au droit de la concurrence
: Restons sur ce point. N’est-il pas curieux qu’une entité publique déconseille par avance une solution future, développée à l’initiative du secteur privé, dont on ne connait rien puisqu’elle n’est pas encore développée ? Est-ce que cela n’impliquerait pas, par hasard, une perturbation concurrentielle dans un marché ouvert et libre ? Peut on envisager que la Hadopi déconseille les consommateurs d’aller sur une plateforme de musique au motif qu’elle n’est pas labellisée « PUR »...? 

8. La transparence, une valeur relative :
Hadopi signale que « les travaux sur la reconnaissance de contenus et de filtrage et leurs évaluations doivent être conduits dans une démarche ouverte et transparente de recherche et d’expertise. Pour la mise en oeuvre de la Loi, l’Hadopi invite tous les acteurs entrant dans le champ de l’article L331-23 du CPI à adopter cette méthode à ses côtés ». Une transparence qui sait aussi se faire oublier dans l’univers Hadopi.

Un exemple ? Le gouvernement avait notifié à Bruxelles son projet de décret sur les verrous labellisés. Cette notification est obligatoire puisque ce texte a des effets dans la société de l’information. Or, fait rarissime : les autorités françaises avaient opté pour une notification confidentielle donc non transparente. Une option qui frappe généralement les textes « sensibles ». Heureusement une faille nous permettait d’informer du contenu de ce texte… La HADOPI se refuse aussi de diffuser les cahiers des clauses techniques qui accompagnent tous ses appels d'offres.

9. Stratégie du délestage et de l'oubli, juste avant la sanction de la CNIL : Le communiqué de deux pages de la Hadopi a donc fusillé en apparence les petits plans de la SCPP, esquissés par son représentant dans une interview. Des plans pourtant connus depuis belle lurette. Pourquoi aujourd’hui ? Hier, nous avions contacté la CNIL pour leur demander où en était l’enquête sur les failles TMG. La CNIL a rendu finalement sa décision aujourd'hui : mise en demeure de TMG et des ayants droit pour de multiples failles de sécurité, et une négligence caractérisée dans la sécurisation du système d’information en amont d’Hadopi. Problème : la HADOPI aurait pu elle aussi mettre son nez dans ces petits dossiers en temps utile. Depuis le 10 juin 2010, elle sait que la CNIL demande un audit de TMG. Elle n'a jamais rien fait.

Elle n'a pas fait semblant de l'ignorer. Ainsi le 7 octobre (et plusieurs fois depuis) Eric Walter promettait une expertise de TMG dans un chat sur le site du Parti Pirate : « nous avons prévu nous-mêmes d'auditer TMG dans ces opérations (…). En ce qui concerne notre audit, nous travaillons sur le protocole avec l'intention de le rendre le plus transparent et le plus objectif possible. Nous aurons l'occasion de communiquer dessus le moment venu, ce qui permettra à chacun de s'exprimer sur la méthode choisie, etc. » Jamais la Hadopi n’a contrôlé TMG malgré l’appel de la CNIL. Elle a beau se désolidariser de la SCPP dans un communiqué extraordinaire pour une Autorité indépendante, la Hadopi est de fait tout autant responsable de ce défaut de sécurisation : elle n'a rien contrôlé chez TMG alors qu'elle aurait du le faire. 

10. Hadopi garante de la vie privée, de la neutralité, de la transparence...
Dans son communiqué SCPP, la Hadopi se gargarise : elle met en avant la transparence, tout en se portant garante de la neutralité et de la vie privée. Un véritable strip-tease de ses vilains aspects. Elle se démarque aussi des ayants droit qui, quelques heures plus tard, allaient se retrouver englués dans la sanction de la CNIL. Si on voulait tenter de faire table rase du passé, pour mieux sauver son avenir, on ne s'y prendrait pas autrement.

La question qui demeure : les internautes s’en souviendront-ils ?