Depuis ses origines, la Hadopi est confrontée à un problème : le développement du « nattage », soit la mutualisation d'une adresse IP entre plusieurs abonnés. Un bug juridique l'empêche en effet d'adresser ses avertissements. Cette lacune, qui a profité à certains abonnés Free notamment, est en passe d'être corrigée.
Rapport annuel après rapport annuel, la Hadopi n’a eu de cesse de dénoncer la problématique dite des adresses IP nattées. Ses racines sont à rechercher dans les textes fondateurs.
Dans les délibérations révélées par Next INpact en 2010, lorsque la CNIL autorisa les sociétés de gestion collective à glaner les adresses IP sur les réseaux P2P, le numéro du port figurait bien parmi l’ensemble des données traitées par ces représentants des industries culturelles.
Cependant, à l’étape d’après, lorsque ces adresses sont envoyées à la Hadopi aux fins d’identification chez les FAI, le port source n’apparaît plus. Or, sans cette information, impossible pour la haute autorité d’individualiser l’avertissement auprès des FAI, puisque l'adresse est partagée entre plusieurs abonnés.
Le nattage face à la pénurie d’adresses IP
Ce bug conceptuel remonte précisément à un décret du 5 mars 2010 destiné à encadrer les traitements mis en œuvre par la Rue du Texel. Parmi les données passées à la moulinette, en effet, le texte cite bien la date et l’heure des faits, l’adresse IP des abonnés, le protocole P2P utilisé ou encore le nom des œuvres mis à disposition et le FAI mais non le port source, resté sur le bord de la route.
En d'autres termes, quand des adresses IP sont partagées entre plusieurs abonnés, un FAI comme Free ne sait pas identifier le titulaire du contrat. Et la Hadopi ne peut donc lui adresser son mail d’avertissement, première marche de la riposte graduée avant la lettre remise contre signature voire la transmission au parquet.
En 2015, la Hadopi expliquait dans son rapport annuel que « les fournisseurs d’accès à Internet, qui doivent faire face à une pénurie d’adresses IP, peuvent pratiquer le "nattage", c’est-à-dire partager une adresse IP entre plusieurs abonnés et ont alors besoin des références du "port source" pour identifier le titulaire de l’abonnement. »
Et puisque « les délibérations de la Commission Nationale Informatique et Libertés des 10 et 24 juin 2010 autorisent déjà les ayants droit à collecter et à transmettre à la Commission le numéro de port », elle préconisait chaudement « de modifier l’annexe du décret du 5 mars 2010 pour l’autoriser à traiter le numéro de port source utilisé ».
Selon elle, « cette modification serait d’autant plus utile qu’elle permettrait par ailleurs aux professionnels, qui mettent des accès à Internet à disposition de tiers, d’identifier l’utilisateur final à l’origine des faits de mise à disposition pour le sensibiliser sur l’enjeu et les impacts des faits de contrefaçon qu’il a commis. »
Les données traitées par les ayants droit (délibération SACEM)
Les données transmises par les ayants droit à la Hadopi (délibération SACEM)
Dans son rapport 2019, rebelote. Elle renouvelait ses appels du pied. La Commission de protection des droits, en charge de la riposte graduée, insistait en faveur d'une modification des textes pour « lui permettre de traiter les numéros des ports source et destination utilisés pour commettre les faits de contrefaçon constatés ».
Selon nos informations, 10 ans après ce vice de conception, le bug est en passe d’être corrigé : un projet de texte est enfin sur la rampe pour modifier ce fameux décret du 5 mars 2010, celui « relatif au traitement automatisé de données à caractère personnel » appelé par l’article L. 331-29 du code de la propriété intellectuelle.
Cette rustine consistera donc à rajouter la mention du port source parmi les données collectées par la Hadopi. Témoignage de cette imminence, la CNIL a déjà été saisie pour avis en décembre 2020.
30 % des dossiers partent à la poubelle chaque année
Comment donc expliquer qu’aucune rustine n’ait été appliquée depuis 2010 ? Les raisons sont à la fois historiques, politiques, stratégiques et juridiques.
Durant les premières années, les attentions se concentraient avant tout sur l’indemnisation des FAI, thème sclérosant toute autre réforme. De plus, la pratique des IP nattées n’était pas aussi populaire chez les FAI. Ensuite, durant la présidence Hollande, le sort de la Hadopi fut aussi incertain que ce président normal, même si l’institution a finalement survécu. Vint enfin un autre sujet, la grande réforme de l’audiovisuel avec à la clef la fusion Hadopi et CSA.
Avec ce décret désormais dans les starting block, outre le projet de fusion désormais acté, ces méandres seront bientôt conjugués au passé.
Reste une question : quelle est la part d’adresses IP victimes de cette problématique ? En 2013, près de 12 % des demandes d’identification adressées aux FAI tombaient à la poubelle. Soit des centaines de milliers de personnes qui n’ont pu avoir le plaisir de recevoir un avertissement.
Soulagement possible des uns, mais frustration mâtinée d’agacement pour l’autorité et en amont, les ayants droit. Ceux-là même qui font appel aux services commerciaux de l’entreprise Trident Media Guard pour collecter des IP, en partie… pour rien.
Cette proportion de 12 % était déjà énorme, mais la situation a empiré depuis. Contactée, la Hadopi nous révèle en effet que le taux de non-identification (IP fixes et mobiles) moyenné par FAI est aujourd’hui de… 30 % !
Celle-ci refuse de nous révéler les bons et mauvais élèves, pour des questions concurrentielles, mais quand l'autorité réceptionne 10 millions de saisines par an, on doit comprendre que 3 millions des dossiers envoyés par les ayants droit passent à la trappe. Avec une précision : ces trois millions de dossiers ne correspondent toujours pas à autant d’abonnés, puisqu’un même internaute peut être multi-signalé pour avoir partagé plusieurs œuvres.
Il n'en demeure pas moins que ce niveau dépasse le seuil du supportable pour l'institution chargée de remettre les brebis égarées sur la voie de l'offre légale. Guère étonnant que Pauline Blassel, secrétaire générale de la Hadopi juge aujourd’hui « très important pour nous que ce décret soit pris pour nous permettre d’identifier la quasi-totalité des adresses IP qu’on nous transmet ». Toujours selon la secrétaire générale de l'institution, c’en est même devenu « un sujet d’efficacité de l’action publique ».
