Des sujets interdits, l'automatisme à outrance, et la montée en charge
La Hadopi a donc tenu sa première conférence de presse pour l’année 2011. L’objet de cette rencontre portait sur les moyens de sécurisation et le bilan de la riposte graduée. « 2011 sera celle de l’offre légale » expliquera laconiquement Marie-Françoise Marais en évoquant la future labellisation des offres légales avec un portail de référencement. En fait, selon les dernières informations de l'Hadopi, 2011 sera surtout et même avant tout l'année de l'automatisation de cette justice basée sur la menace. Synthèse.Hadopi et ses deux présidentes
Les sujets évacués, les sujets interdits
Certains sujets ont été rapidement traités voire interdits.
Ainsi, Hadopi 3 qui concerne pourtant l’offre légale, ne sera pas évoquée lors de cette rencontre. Cette question étant dans les mains du ministère, nous expliquera Marie Françoise Marais.
La présidente du collège de l’Hadopi fermera également la porte du recours Free contre le décret du 12 octobre 2010 signalé par PC INpact. Comme lors de la précédente rencontre, elle refusera d’en toucher mot et interdira d’aborder le sujet: « une administration indépendante n’a aucun commentaire à faire, le juge va faire son travail. Par voie de conséquence, nous n’en dirons pas plus ».
La Hadopi refusera également de parler de la question des factures adressées par les FAI dans le traitement des emails, la fameuse "charge" signalée par Eric Besson : « C’est un problème qui existe depuis les débats parlementaires, cela relève du ministère de la Culture. Quand les FAI auront eu un accord sur la rémunération, la Hadopi paiera. » Le ministère de la Culture refuse donc toujours de payer ces FAI contraints d’être des auxiliaires de la Hadopi.
Jérémie Zimmermann, invité surprise, et Eric Walter
Le personnel et l'automatisation à outrance : 24 agents
Le premier point central de cette rencontre concernera la montée en charge de la réponse graduée. 2011 sera aussi et surtout celle d’une montée en puissance du volet pénal.
D’abord quelques chiffres. La Hadopi a indiqué qu’au 20 décembre 2010, 40 personnes étaient employées dans ses 1100 m² de la rue du Texel. En marge de la conférence on apprendra que 12 agents sont dédiés uniquement à la gestion des demandes d’identification et de l’envoi des courriers recommandés. Ils devraient en 2011 être 24 agents, en plus des trois membres de la Commission de protection des droits.
Une montée en charge progressive
Les ayants droit ont la possibilité chacun d’envoyer 25 000 saisines par jour, soit 125 000 en tout. Actuellement, ces ayants droit n’utilisent pas toutes les cartouches mais transmettent 70 000 saisines par jour selon les données fournies hier.
Une fois ces saisines dans les mains de l’Hadopi, il faut identifier l’abonné derrière l’adresse IP. Depuis trois mois, 100 000 demandes d’identification ont été adressées aux fournisseurs d’accès (chiffre à la fin décembre).
Une fois ces IP identifiées, la Hadopi transmet les fameux avertissements. Les premières recommandations ont été envoyées le 1er octobre 2010. La commission de protection des droits s’était fixé pour objectif 2000 recommandations/jour début décembre. Fin 2010, la CPD a envoyé en tout un peu moins de 70 000 recommandations. « Certains d’entre vous ont eu des sources très efficaces » dira Mireille Imbert Quaretta, pointant les données qui furent diffusées dans nos colonnes.
La Hadopi refusera de dire combien d’entreprises ont été ciblées dans le lot.
Les déchets de l'Hadopi
Pourquoi cette différence entre les saisines des ayants droit, les demandes d’identification et les avertissements envoyés ? La Hadopi nous dira que cela tient à l’adaptation du système d’information, et l’ajustement suite à quelques bugs signalés. Quel type d’incidents ? « La recommandation qui arrivait bien verticale chez des abonnés, arrivait oblique chez d’autres ». Un affichage oblique (alors que le mail est envoyé en HTML…)
Autre problème : « Nous étions parfois saisis de doubles saisines, mêmes faits, mêmes constatations, mêmes œuvres signalées par deux ayants droit différents. Juridiquement cela se comprend, mais on ne pouvait les prendre en compte. (…) Nous avons considéré qu’il s’agissait de la même saisine. ».
Les doubles incidents « dans un temps rapproché » ne sont pas plus considérés comme un double incident. Mais on ne sait à combien s’étend « ce temps rapproché »
Bref : « toutes les demandes d’identification ne se traduisent pas par l’envoi d’une recommandation. On ne doit pas confondre les flux et les stocks ».
L'automatisation ou la transparence de l'Hadopi
La montée en charge des traitements se fera avec l’objectif de 10 000 avertissements envoyés à la fin du premier semestre, chaque jour. Pour la fin de l’année, avec la mise en place du nouveau système d’information, la Hadopi « n’aura plus de limite ». Elle pourra faire envoyer 20, 30 ou 100 000 emails par jour si elle le souhaite.
D’un côté on voit que la Commission de protection va passer de 12 à 24 agents, donc un rapport X2. De l’autre, de 2000 à 10 000 avertissements ont être envoyés chaque jour, sans compter les lettres recommandées. On est dans un rapport X5, voir « infini » à la fin de l’année.
Puisque le stock de personnel ne varie que très peu dans le même temps, on en déduit mécaniquement que l’Hadopi va être totalement ou presque automatisée. Cette automatisation va conduire à Hadopi à tendre vers la transparente. Une étape robotisée, un bras armé. En aval, on sait que les parquets ont été enjoints par le ministère de la justice à ne pas diligenter des enquêtes supplémentaires sur les dossiers que lui transmettra la Haute autorité. En amont, ce sont bien les ayants droit qui disposeront des manettes, et du choix des œuvres injectées dans cette justice à la chaîne et sur cadran.
Les contrôleurs du contrôleur 100% satisfaits, les oeuvres consultées
Quel retour ? Quel impact ?« Il faut 18 mois d’activités à plein régime pour voir l’impact sur la 2ème et 3ème recommandation, cela ne fait que trois mois qu’on fonctionne ».
La Hadopi ne parviendra donc pas à estimer les premiers retours de ces milliers de courriers, « car nous ne savons pas si ces recommandations sont lues par l’abonné. Nous n’avons aucun moyen de savoir cela. » Pour les abonnés qui ont effectivement contacté l’Hadopi après avoir été alerté, trois fois sur quatre les demandes concernaient les œuvres échangées.
L’envoi de la deuxième recommandation
Lors de la conférence de presse, la Hadopi a révélé le contenu du second courrier, celui qui pourra être envoyé email et en recommandé avec accusé de réception. Contrairement au premier mail, « l’envoi de la seconde recommandation est un des éléments constitutifs de l’infraction de négligence caractérisée ». La présidente de la CPD assurera que « nous avons des réitérations depuis la fin de l’année ».
Le transfert au pénal du dossier pourra intervenir très vite en cas de troisième défaut de sécurisation. Le délai d’un an entre la 2ème et la 3ème recommandation est un délai maximum, il n’y a pas de minimum. « On peut réitérer dès le lendemain après l’envoi de la deuxième recommandation »
Les oeuvres diffusées, proposées, mais aussi consultées
Signalons dans ce courrier la mention des œuvres « consultées » et pas seulement mise à disposition ou reproduite (voir document, extrait sous la flêche). Ce qui permet à Hadopi de préparer juridiquement l’extension de la réponse graduée au streaming (la question technique de cette surveillance est évidemment nettement plus complexe…)
(scan Ecrans.fr)
La Hadopi va lancer une étude pour mesure l’offre culturelle en ligne, et l’utilisation licite ou illicite. L’étude sera présentée au prochain Midem. L’avenir de la Commission de protection des droits
Mireille Imbert Quaretta a indiqué que l’avenir de la commission de protection des droits était face à une alternative « elle n’a pas à être pérenne. Soit la pédagogie marche, avec un changement des comportements des abonnés qui se tournent vers l’offre légale (…) Et ne reste plus que les 10 ou 20% de téléchargeurs irréductibles patentés et ça, ce n’est pas nous mais la justice et la police [de s’en charger]. Soit la pédagogie ne marche pas, et il n’y a pas de raison que le législateur continue à ne pas passer à autre chose ». En clair : « soit ça marche, et on disparait, soit ca ne marche pas et on passe à autre chose. Voilà !»
Dans les tisons de Nantes
Cette montée en charge a été volontairement progressive. On voulait toute certitude pour la protection des données personnelles de l’abonné". La CPD a indiqué au fil de son bilan d’étape avoir visité les locaux de TMG, pour voir comment se déroulait le processus en amont. La Hadopi ne dira pas en quoi a consisté son contrôle mais qu’elle fut très satisfaite de ce qu’elle a vu.
« On a voulu voir sur place comment ça marchait. Dans le courant du trimestre, les agents de la CPD sont allés à Nantes, chez TMG, voir comment cela fonctionnait, comment étaient récupérées les adresses IP. Il nous fallait des réponses sur un certain nombre de questions, la façon dont été dressés les PV, ces PV qui font 3 pages. Et je dois dire qu’à 100%, nous n’avons aucun doute sur la façon dont sont recueillis et établis les PV avec les ayants droit. » La certitude à 100% existe donc, surtout chez l’Hadopi.
Un tiers indépendant va contrôler TMG
Jouant l’apaisement la Commission de protection des droits indiquera encore : « Nous avons décidé avec les ayants droit, pour calmer toutes les interrogations, de confier à un expert indépendant le soin de vérifier la garantie du péchage des adresses IP ». La CPD ne le dira pas mais c’était là un des vœux qui fut émis par un rapport interne de la CNIL révélé par PC Inpact, où le gendarme des données personnels regrettait sèchement l’absence de tiers de confiance pour contrôler le contrôleur et ses petits outils (capture ci-dessous).
Le rapport interne de la CNIL
Les moyens de sécurisation ? Pas notre problème, débrouillez-vous
Sur les moyens de sécurisationC’est là la principale nouveauté de cette rencontre : Eric Walter : « de nouvelles orientations ont été données au document », en fait le projet de spécifications fonctionnelles des moyens de sécurisation labellisés. « Un nouveau document sera mis en consultation d’ici la fin du mois pour une durée de un mois ».
Le projet en question avait déjà subi de multiples retards dans le passé. La redéfinition ou la remise en cause de ce qui avait déjà été écrit noir sur blanc va une nouvelle fois temporiser la finalisation des verrous labellisés. Quelle orientation ? Walter dira que le nouveau document devra respecter cinq réorientations.
« La première porte sur le point de neutralité par rapport au réseau et de respect de la sphère privée par rapport à l’utilisateur » : désormais, on exclut « le pilotage de l’application qui ne serait pas sous le seul contrôle de l’utilisateur » et « les solutions implémentées en cœur de réseaux. »
Deuxième axe : les spécifications fonctionnelles vont faire « une distinction entre les grandes organisations, le grand public et les très petites entreprises ». Il y aura un socle commun, générique, et deux branches : une branche professionnelle, et une branche particuliers/TPE. (voir sur ce point : les premières vagues d'avertissement ont épargné les entreprises)
Troisième réorientation : répétant en mode Albanel que la réponse graduée a un « objectif pédagogique », Walter dira que le moyen labellisé devra aider l’abonné « à connaitre plus précisément ce qui se passe sur son réseau pour qu’il puisse exercer sur son propre réseau local sa propre responsabilité ».
Quatrième point : la journalisation des faits et gestes de l’abonné : « nous en sommes revenus à une journalisation classique », contrairement à la première version qui était doté d'un journal infalsifiable pour confondre l'abonné qui aurait le toupet de mentir (plus l'abonné sera sécurisé, plus il sera surveillé)
L’utilisateur aura trois choix : « soit pas de journal du tout si l’utilisateur le décide. Soit un journal en clair, soit un journal qui voudrait lui-même avoir sécurisé. C’est l’utilisateur qui décidera de l’activation ou de l’inactivation de ce journal. »
L’ensemble du code source de ces applications pourra être en open source. « Concrètement les spécifications ne comprendront aucune obligation d’assurer l’intégrité du code et ne comprendront aucune interdiction de publication du code source. »
Un recul ou plutôt une mise sous cloche
En fait de réorientation, la Hadopi revoit totalement à la baisse les prétentions intrusives des outils labellisés, sur lesquels se concentraient beaucoup de craintes. Il faut cependant relativiser la portée de ce recul… car il peut être de courte période.
Dans le décret sur les outils labellisés publié fin décembre, il est prévu que la Hadopi dispose de la liberté de modifier comme elle le veut ces spécifications. Ainsi l’article R. 331-93.dispose « Lorsque la Haute Autorité modifie les spécifications fonctionnelles que les moyens de sécurisation doivent présenter (…) à l’éditeur d’un moyen de sécurisation labellisé de faire procéder à une nouvelle évaluation ». L’éditeur de logiciel peut se voir alors retirer le label si son outil « ne répond pas aux nouvelles spécifications fonctionnelles. »
Les moyens de sécurisation nous importent peu
Toujours au fil de la discussion, Mireille Imbert Quaretta dira que « les moyens de spécifications labellisés ne nous importent peu. Ce n’est pas le problème. (…) Le défaut de sécurisation est une infraction de commission par omission.(…) Vous aviez l’obligation de faire quelque chose et vous ne l’avez pas fait. L’infraction se constate, elle ne se prouve pas » résumera Mireille Imbert Quaretta. « Vous devez vous débrouiller pour qu’il n’y ait pas des œuvres chargées ou mise en partage illégalement sur votre accès internet. »
Du coup, la mission pédagogique de l’Hadopi prend un peu plus de plomb dans l’aile avec la redéfinition de ces moyens de sécurisation labellisés : des outils qui ne serviront à rien. Des outils dont se fiche la CPD et dont les fichiers de journalisation seront librement paramétrables par l’abonné. A côté de cela, une montée en puissance des constats d’omission de sécurisation dans le plus pur style d’un travail à la chaîne. 2000, 10000 avertissements, puis plus aucune limite, adressés chaque jour à autant d’abonnés.
En clair après avoir prévu le pire dans ses spécifications fonctionnelles, la Hadopi prépare un agneau. Mais rien ne l’empêchera, par exemple après mai 2012, d’en refaire une fouine, un renard ou un loup. Mieux : les abonnés en confiance qui auront installé ce logiciel amadoué pourront se retrouver avec une solution nettement plus intrusive à l'aide d'une simple mise à jour logicielle prétextée par l'éditeur.