Hadopi : marchés publics ou presque (libération partielle avant la CADA)

En novembre 2010 puis en mars 2011, la Hadopi lançait deux marchés publics d’ampleur. Leur objectif ? Le nouveau système informatique (ou SI) gérant toute la riposte graduée : réception des dénonciations des ayants droit, envoi des avertissements, jusqu’à la transmission aux Parquets, aux FAI et au casier judiciaire. Suite à notre procédure CADA, nous en savons désormais un peu plus sur ce dispositif.

C’est en comptant sur les bons services de ce SI que la Hadopi programme d’adresser 1,1 million d’avertissements cette année, soit près de 40 % de plus qu’en 2012. Nous avions dans ce cadre sollicité la communication des pièces de ce marché. Sauf que la Haute autorité présidée par Marie-Françoise Marais n’a souhaité ne transmettre qu’une partie des pièces :

1. Le cahier des clauses particulières (CCP) du marché public « d'assistance à la maîtrise d’ouvrage pour la version cible du système d’information utilisé dans le cadre de la réponse graduée »,
2. Le cahier des clauses techniques particulières (CCTP) pour le marché de mise en oeuvre de ce système.

Une première analyse des documents montrait l’envers de ce marché et la volonté pour la Hadopi d’informatiser l’ensemble de ses échanges avec les entités extérieures (ayants droit, FAI, parquet, casier judiciaire, La Poste). Elle a envisagé également un système capable d’adresser jusqu’à 5 000 courriers postaux chaque jour. Sauf que, comme souligné, ces documents étaient tronqués, et manquaient notamment plusieurs annexes.

Lettre à la Hadopi puis saisine de la CADA

Le 26 novembre 2012, nous adressons donc une LRAR à la Hadopi pour exiger en substance les DCE (documents de consultation des entreprises) de ces marchés et plusieurs pièces annexes comme l’offre de prix détaillée des entreprises retenues. Le 26 décembre, aucun retour. Le silence valant rejet implicite de notre demande, début janvier nous avons donc saisi la CADA, la Commission d’accès aux documents administratifs.

C’est aujourd’hui 7 février 2013 que la CADA doit rendre son avis sur la publication des pièces réclamées dans ce dossier. C'est ce que la Commission nous a assuré le 15 janvier dernier.

La Hadopi libère des documents un jour avant la décision CADA

Hier, cependant, la Hadopi nous a adressé un camion de fichiers. On comprend l’enjeu : en diffusant ces pièces avant la décision de la CADA, elle évite d’avoir à respecter un avis de diffusion qui lui serait adressé. Cependant, dans son mail, la Hadopi persiste à refuser de libérer l’intégralité des documents demandés. Elle estime que certains sont couverts par « le secret industriel et commercial », voire ne peuvent « être divulgués compte tenu des exigences de sécurité publique ». Plusieurs passages ont ainsi été occultés. Des fichiers ont par ailleurs été volontairement oubliés.

Ce n’est pas la première fois que la Hadopi plie avant une décision CADA. Cela s’était par exemple produit lors d’une de nos premières procédures, destinée à récupérer les déclarations d’intérêts de ses membres. Ce n’est pas davantage la première fois que la Hadopi occulte des informations. Elle l’avait déjà fait pour tenter de cacher la rémunération brute de son secrétaire général (180 000 euros/an maximum), avant que la CADA ne lui rappelle que « les documents faisant état de la rémunération des agents publics sont communicables à toute personne qui en fait la demande. »

Les fichiers libérés suite à notre demande

En attendant la décision de la CADA, nous diffusons ce jour les documents reçu de la Hadopi, en trois fichiers :

• Pièces du marché d’assistance à maitrise d’ouvrage pour la version cible du système d’information utilisé dans le cadre de la réponse. On trouvera notamment la liste des entreprises ayant déposé une offre (mc2i et Bm2 Conseil, qui ont respectivement fait une offre à 87 040 euros et 55 225 euros.)

• Pièces du marché de mise en œuvre de la version cible du SI de la riposte graduée. C’est le cœur de la réponse graduée, la plateforme de réception des IP flashées par les ayants droit qui va traiter l’ensemble de la graduation jusqu’à la transmission au Parquet. Et une annexe « CNIL » de 10 Mo.

Ce deuxième pack de documents que la Hadopi a finalement daigné nous transmettre est à ajouter à notre actualité décrivant le système informatique de la riposte graduée. Divisé en cinq lots interdépendants, il charpente tout l’automatisme du dispositif sur quatre ans. Du cœur logiciel à l’interface en passant par les prestations automatisées d’envois des courriers...

La montée en puissance de la Hadopi est programmée

Nous examinons actuellement ces éléments qui pourront aussi servir aux chercheurs étudiant la loi Hadopi, par exemple. Fait notable, à plusieurs reprises la Haute autorité confirme sa volonté de pouvoir monter en puissance dans le traitement.

Par exemple, pour les prestations d’envoi des lettres recommandées - phase 2 de la réponse graduée - la Hadopi ordonne au titulaire du marché de prévoir « lors de la conception du système, (…) l’évolution de sa montée en charge (« scalabilité », en termes de volumes de plis traités, etc.) ». Pour la Hadopi, « il est obligatoire que le système soit capable de monter en charge, de telle sorte qu’une volumétrie plus importante conforme aux volumes des saisines soit traitée et que les performances soient améliorées ». D’ailleurs, « aucune régression du système de gestion du courrier n’est acceptable. »

Dans le règlement de consultation, la Hadopi indique laconiquement que cette plateforme automatisée d’envoi des LRAR « doit pouvoir traiter plusieurs milliers d'envois par jour ».

Même parfum pour les autres strates informatisées : « le titulaire, lors de la conception du système, prévoit l’évolution de sa montée en charge (« scalabilité », en termes de volumes de données, nombre de visiteurs, etc.) ». Elle répète qu’ « il est obligatoire que le système soit capable de monter en charge, de telle sorte qu’une volumétrie plus importante conforme aux volumes des saisines soit traitée et que les performances soient améliorées. » (p. 17 du CCPA).

200 000 saisines par jour

Dans les pièces obtenues, il est confirmé que la version opérationnelle du SI vise une base de 200 000 saisines reçues/jour. Ce système doit même être capable d’absorber « des pics réguliers », sachant que « le poids moyen d'une saisine 500ko est compris majoritairement entre 200ko et 100Mo » (des extraits de fichiers accompagnent les IP).

Confidentialité pour 10 ans

Le marché est évidemment truffé de clauses destinées à assurer la confidentialité des données. Impossible de divulguer par exemple les informations « relatives aux codes sources et aux fonctionnalités des systèmes utilisés par l’HADOPI ». L’obligation « demeurera en vigueur pour une durée de 10 ans à compter de l'expiration ou de la résiliation de ce marché pour quelle cause que ce soit ».

La Hadopi ne nous a pas transmis l’intégralité des annexes. Le cahier des charges décrivant les spécifications d’interface avec les ayants droit ou les FAI est absent. Tout comme le rapport d’audit du code, le plan de sécurité, le plan d’architecture, les spécifications fonctionnelles détaillées ou le manuel utilisateur...

Des pièces toujours manquantes

Le fichier PDF  « annexe CNIL » rend compte du traitement de données personnelles généré par ce système (jusqu’à 200 000 données personnelles/jour encaissées). Il décrit les mécanismes d’échanges. Cependant, la Hadopi a occulté de nombreuses données : certaines tiennent au chiffrement, mais d’autres se contentent d’esquisser les étapes du traitement des données recueillies chez les ayants droit puis leur avenir au-delà (tri, etc.).

La décision CADA délivrée aujourd'hui nous permettra d'avoir le périmètre de la libération de ces éléments. Pour information, nous avons d'autres procédures similaires programmées. Nous y reviendrons là aussi prochainement.