« Le décret ajoute le port source parmi les données pouvant être enregistrées dans le traitement automatisé concerné ». Par ces quelques lignes au Journal officiel, le gouvernement corrige un bug plusieurs fois dénoncé par la Hadopi depuis le cri primal de la riposte graduée : l'impossibilité d'avertir les abonnés derrière des IP partagées (ou nattées).
Le 1er janvier 2022, la Hadopi et le CSA vont fusionner au sein d’une nouvelle structure : l’ARCOM (pour Autorité de régulation de la communication audiovisuelle et numérique). Une conséquence de la loi relative à la régulation et à la protection de l'accès aux œuvres culturelles à l'ère numérique, publiée au Journal officiel le mardi 26 octobre 2021.
À l’occasion des débats autour de cette loi, la ministre de la Culture avait fait savoir qu’elle ne souhaitait pas modifier « l’équilibre » de la réponse graduée. Elle s’opposait à cette fin à la mise en place d’une amende transactionnelle au dernier étage de la riposte graduée, vœu émis de longue date par les industries culturelles.
La volonté de ne pas toucher à l’envoi des avertissements n’a pas été jusqu’à sacraliser cette procédure. En témoigne ce matin, au Journal officiel, le texte publié par la même ministre de la Culture. Il modifie le décret du 5 mars 2010 relatif au traitement automatisé dans le cœur de la Hadopi.
L’adjonction fondamentale se retrouve dans ces quelques lignes : « 2° Au quatrième alinéa du 1°, après les mots : "Adresse IP" sont insérés les mots : "et port associé" ». Explications.
L’ajout du port source pour mater les IP nattées
Pour bien comprendre les conséquences, il faut revenir aux délibérations révélées par Next INpact, voilà 11 ans.
En 2010, après un bras de fer avec le Conseil d’État, la CNIL fut contrainte d’autoriser les sociétés de gestion collective à glaner les adresses IP sur les réseaux P2P, numéro du port compris. Ces IP sont celles des internautes ayant mis à disposition des œuvres sans leur autorisation.
Seulement, le décret du 5 mars 2010 qui dresse la liste des données transmises ensuite dans l’estomac de la Hadopi laissa le fameux port source sur le banc de touche.
Si sont bien transmises la date et l’heure des faits, l’adresse IP des abonnés, le protocole P2P utilisé ou encore le nom des œuvres mis à disposition et le FAI concerné, ce fameux port source restait donc inconnu de la Commission de protection des droits, tourelle prépénale de la Hadopi en charge de l’envoi des avertissements.
De cet oubli, une conséquence plus que fâcheuse pour les partisans de cette politique : lorsque des adresses IP sont partagées entre plusieurs abonnés, impossible pour le FAI d’identifier le titulaire du contrat, auteur présumé de l’indélicatesse Hadopienne. Et impossible pour la Commission de protection des droits, chargée de mettre en œuvre la procédure dite de « réponse graduée », de lui adresser le mail d’avertissement, première marche avant la lettre remise contre signature, voire la transmission au parquet.
Année après année, la Hadopi a dénoncé ce trou dans la raquette. Dans son rapport de 2015, par exemple, elle relevait que « les fournisseurs d’accès à Internet, qui doivent faire face à une pénurie d’adresses IP, peuvent pratiquer le "nattage", c’est-à-dire partager une adresse IP entre plusieurs abonnés et ont alors besoin des références du "port source" pour identifier le titulaire de l’abonnement. »
Elle appelait donc à une modification du décret de 2010, une modification « d’autant plus utile qu’elle permettrait par ailleurs aux professionnels, qui mettent des accès à Internet à disposition de tiers, d’identifier l’utilisateur final à l’origine des faits de mise à disposition pour le sensibiliser sur l’enjeu et les impacts des faits de contrefaçon qu’il a commis. »
Un taux de non-identification de 30 % en 2021
Comme annoncé dans nos colonnes en mars 2021, la rustine apposée ce matin au Journal officiel vient corriger cette lacune. Et quelle lacune ! Contactée, la Hadopi nous indiquait que le taux de non-identification (IP fixes et mobiles) moyenné par FAI était désormais de… 30 % !
À compter du 1er janvier 2022, les ayants droit vont pouvoir transmettre à la Hadopi le port source afin que la Hadopi puisse identifier l’abonné derrière une IP partagée sur fond de pénurie d’adresses IPv4.
Hadopi : 30 % des adresses IP restent anonymes, mais plus pour longtemps
Saisine de la Hadopi par acte d'huissier
La loi ARCOM a également prévu qu’en plus des sociétés de gestion collective, des organismes professionnels et du procureur de la République et du Centre national du cinéma, l'autorité fusionnée pourra être saisie par simple « acte d’huissier établi à la demande d'un ayant droit ».
L'idée avait été défendue là encore par la Hadopi, notamment en 2015 (voir son rapport, page 89). L’autorité soulignait être « régulièrement sollicitée par des auteurs, interprètes ou producteurs qui constatent la mise à disposition sur les réseaux pair à pair de leurs œuvres et souhaitent pouvoir demander la mise en œuvre de la procédure de réponse graduée ».
L’enjeu ? Un ayant droit pourra dès le début de l’année prochaine contacter un huissier de justice pour qu’il saisisse la Hadopi, sans passer par un organisme de défense, une société de gestion collective, le CNC ou le procureur de la République.
Délais d’effacement allongés
Le décret publié au JORF modifie aussi les délais d'effacement des données à caractère personnel et informations figurant en annexe du décret du 5 mars 2010.
Cette disposition est la conséquence de l'allongement de six mois du délai de saisine de l’ARCOM par le procureur de la République. Là encore, la concrétisation d’un vœu hadopien.
Dans son rapport de 2015, elle réclamait déjà cette modification : « à la suite de la dénonciation de faits de contrefaçon par les ayants droit, des parquets ont, dans certains cas, décidé de [lui] transmettre ces dossiers [...], lorsque l’auteur des faits de contrefaçon n’avait pas été identifié ou qu’ils souhaitaient ordonner un rappel à la loi plutôt que de poursuivre ces faits devant le tribunal correctionnel ».
Problème, les 6 mois ouverts par les textes en vigueur étaient déjà jugés trop courts. La loi ARCOM a donc doublé ce délai. Et par ricochet, cette réforme a rendu nécessaire celle des délais d’effacement des données enregistrées dans le traitement Hadopi, qui sont portés… :
- De quatorze à vingt mois, après la date de l'envoi de l’avertissement
- De vingt et un à vingt-sept mois, après la date de présentation de la lettre remise contre signature
Un choix « qui n'excède pas la durée nécessaire compte tenu des finalités pour lesquelles [les données] sont collectées et traitées », explique laconiquement la CNIL dans son avis rendu pour l’occasion.
Modification du périmètre des données LCEN
Le décret procède à d’autres modifications consécutives d’une censure d’un bout de la loi Hadopi par le Conseil constitutionnel le 20 mai 2020.
Ce jour, les neuf Sages censuraient la possibilité pour les agents de la Hadopi d’avoir un accès trop vaste aux données conservées par les fournisseurs d’accès. Ils pouvaient se faire communiquer « tous documents, quel qu'en soit le support, y compris les données conservées et traitées par les opérateurs de communications électroniques », « notamment » l'identité, l'adresse postale, l'adresse électronique et les coordonnées téléphoniques de l'abonné.
Le Conseil constitutionnel censura cet accès bien trop vaste, peu en harmonie avec la nécessaire protection de la vie privée. Toutefois, sa censure fut à effet différé, au 31 décembre 2020. Et surtout, la Hadopi estima qu’elle ne changeait finalement rien aux rouages de la riposte graduée.
Retenons qu'en conséquence de cette censure, le décret vient modifier le périmètre des données transmises à la Hadopi en conservant toujours celles venant des opérateurs (expression qui inclue les « personnes dont l'activité est d'offrir un accès à des services de communication au public en ligne ») mais en supprimant des dispositions trop bavardes. En particulier celles qui permettaient aux agents de récupérer des données à caractère personnel auprès d'autres FAI et de n'importe quel hébergeur, expressions vissées aux dispositions censurées, car jugées trop vastes.
