La Hadopi voulait envoyer un avertissement à un abonné. Et c’est finalement son FAI, Numericable, qui vient d’écoper d’une telle sanction infligée par la CNIL. Une histoire piquante sur fond de gros bug informatique qui a aussi conduit à accuser l'abonné en question de faits de pédopornographie.
La décision (PDF) qui vient tout juste de tomber, fait suite à une procédure lancée en février 2015 devant la CNIL par la Hadopi à l’encontre de Numéricable.
Explications. Dans son train-train quotidien, la Haute autorité adresse chaque jour des camions d’adresses IP aux FAI, seuls en capacité d’identifier les abonnés accusés d’avoir mis à disposition sur leur ligne des œuvres protégées par le droit d’auteur. Entre le 26 janvier et le 15 avril 2013, Numericable a ainsi communiqué à la Rue de Texel à 1 531 reprises l’identité d’un même abonné.
Un abonné qui avait eu les honneurs du rapport 2013 de la Hadopi
Pour la petite histoire, c’est justement ce cas qui avait fait l’objet d’un développement circonstancié dans son rapport 2013. Page 34 du document, la Hadopi faisait état d’une « délibération de transmission sur le fondement du délit de contrefaçon » d’un abonné qui avait été flashé 1500 fois, pour 600 œuvres le tout via 9 logiciels différents. Pour cet indélicat, « le dossier requérait des investigations supplémentaires qui ne pouvaient être effectuées par la Commission et que l’approche pédagogique n’apparaissait pas adaptée ». En clair, sentant le gros poisson dans son filet, la Haute autorité avait stoppé l’ascenseur de la réponse graduée, préférant transmettre le tout au parquet, seul en capacité d’avoir les éléments matérialisant la contrefaçon.
Seul hic, l’enquête qui s’en est suivie a révélé un joli bug dans les rouages de l’identification de l'IP : l’abonné « a été identifié par erreur par [Numericable] en raison d’un dysfonctionnement informatique récurent » constate la CNIL dans sa délibération avant d’en détailler l’origine.
MAC et micmac chez Numericable
Le FAI « a développé une application informatique lui permettant de traiter de manière automatisée les demandes relatives à l’identification des adresses IP provenant de la Hadopi et des services de police et de gendarmerie ». Cette application associe en principe les adresses IP aux adresses MAC des abonnés afin de déterminer leur identité. Le problème arrive : lorsque l’application ne permet pas une telle association, elle générait, non pas un message d’erreur, « mais renvoyait, par défaut, vers des adresses MAC composées uniquement d’une suite de zéro ». Et là, c’est le drame puisque Numericable avait enregistré « sous cette valeur les adresses MAC correspondant aux équipements de plusieurs abonnés ».
Voilà donc comment un abonné innocent s’est vu attribuer 1531 faits aux yeux sourcilleux de la Hadopi puis de la police. Et l’erreur s’est reproduite pas moins de 7 fois entre le 28 janvier et le 11 février entre Numéricable et les forces de l’ordre.
Le FAI s’est ainsi vu reprocher une violation de l’article 6-4 de la loi de 1978 qui exige qu’un traitement ne peut porter que sur des données « exactes, complètes et si nécessaires, mises à jour ». Numericable avait tenté de s’échapper des griffes de cette disposition en avançant qu’elle n’imposait qu’une obligation de moyen. Une analyse rejetée par la CNIL qui ajoute que si cette société « a réagi promptement lorsque le dysfonctionnement lui a été signalé », les faits ont persisté au-delà durant 1 an et 9 mois. Ce n’est finalement « qu’à la faveur de l’insistance d’un service de police » chargé de la procédure pénale que l’intermédiaire a corrigé le problème.
Un abonné épinglé également pour pédopornographie
Le FAI a tenté également de s’abriter sur une problématique bien connue : le ministère de la Culture n’a toujours pas publié le décret permettant d’indemniser les FAI dans ces procédures d’identification. Un problème toujours présent, au grand regret du nouveau président de la Hadopi. Selon NC, l’absence d’aides de l’État rendrait du coup « les anomalies difficilement détectables ». La CNIL est restée insensible, sans compter que NC utilise la même application que la demande vienne de la Hadopi ou de la police.
Celle-ci a donc plutôt épinglé « le cumul de ces défaillances » conduisant à faire peser sur un abonné « de nombreuses adresses IP à partir desquelles des faits délictuels auraient été commis ». D’ailleurs, ce pauvre abonné a également été inquiété pour des faits de pédopornographie, toujours suite à ces bugs d’adresses, subissant de nombreuses perquisitions et autres saisies informatiques.
La décision est susceptible de recours devant le Conseil d’État.
