Le cœur de la Hadopi (temporairement) menacé devant le Conseil constitutionnel

Le cœur de la Hadopi (temporairement) menacé devant le Conseil constitutionnel

Riposte dégradée

Avatar de l'auteur
Marc Rees

Publié dans

Droit

13/02/2020 6 minutes
15

Le cœur de la Hadopi (temporairement) menacé devant le Conseil constitutionnel

Le cœur d’Hadopi est menacé aux portes du Conseil d’État et bientôt peut-être devant le Conseil constitutionnel. La Quadrature du Net, FDN, la FFDN et Franciliens.net estiment que les garanties accompagnant l’accès par les agents aux données de connexion des abonnés ne respectent pas les standards. Explications détaillées. 

Dans les deux lois Hadopi de 2009, les sociétés de gestion collective se voient en capacité d’aspirer les IP de ceux mettant en partage les œuvres de leurs catalogues sur les réseaux de pair-à-pair. 

Ces informations sont ensuite transmises à la Hadopi qui se retourne devant les fournisseurs d’accès. Un traitement automatisé lui permet alors d’obtenir les coordonnées des abonnés, nom compris.

La suite est connue : c’est l’envoi d’une série d’avertissements par email puis d’une lettre recommandée. Au bout du bout, c’est l’éventuelle transmission au parquet de celui qui n’aura su sécuriser son accès pour empêcher des contrefaçons répétées malgré de multiples rappels à la loi.

Évidemment, dans un tel montage, le traitement au niveau de la tourelle Hadopi est de première importance. Un décret du 5 mars 2010 s’est chargé de sa mise en œuvre en prévoyant la communication de deux types de données : celles issues des agents travaillant pour les ayants droit, celles issues des FAI, à la demande de la Commission de la Hadopi.

Celles issues des ayants droit :

  • Date et heure des faits ;
  • Adresse IP des abonnés concernés ;
  • Protocole pair-à-pair utilisé ;
  • Pseudonyme utilisé par l'abonné ;
  • Informations relatives aux œuvres ou objets protégés concernés par les faits ;
  • Nom du fichier tel que présent sur le poste de l'abonné (le cas échéant) ;
  • Fournisseur d'accès à Internet auprès duquel l'accès a été souscrit ;
  • L’identité complète de l’agent assermenté chargé de cette collecte.

Celles issues des FAI :

  • Nom de famille, prénoms ;
  • Adresse postale et adresses électroniques ;
  • Coordonnées téléphoniques ;
  • Adresse de l'installation téléphonique de l'abonné.

En plus de ce stock d'informations, s’y ajoutent les emails et lettres recommandées précédemment envoyés à l’abonné avant de passer au stade n+1 de la riposte graduée.

L'absence de garantie dans l'accès aux données de connexion désormais sanctionnée

FDN avait déjà attaqué ce décret en 2011, en vain. French Data Network considérait alors qu’il était entaché d’un vice de procédure, faute d’avoir été précédé d’une consultation de l’ARCEP. Procédure inutile, avait répondu le Conseil d’État.

Cette fois-ci, les requérantes reviennent à l’attaque au regard d’un important changement de circonstance, consécutif à une évolution de la jurisprudence du Conseil constitutionnel et de la Cour de justice de l’Union européenne. Et c’est au regard de ce changement qu’elles sollicitent désormais la transmission d’une question prioritaire de constitutionnalité ciblant l’article L331-21 du Code de la propriété intellectuelle, qui sert de fondement au décret de 2010.

Le cœur de la question concerne l’accès aux données de connexion. Par plusieurs décisions, le Conseil constitutionnel a déjà censuré les textes qui offraient un accès trop vaste, sans garantie, aux agents de l’Autorité de la concurrence, à ceux des Douanes, de l’AMF, de la Haute autorité pour la transparence de la vie publique ou des agents de la protection sociale.

À chaque fois, même ritournelle : « le législateur n’a pas entouré la procédure prévue (…) de garanties propres à assurer une conciliation équilibrée entre, d'une part, le droit au respect de la vie privée et, d'autre part, la prévention des atteintes à l'ordre public et la recherche des auteurs d'infractions ».

Le Conseil constitutionnel n’a jamais vraiment précisé les garanties exigées pour accompagner l’accès aux données de connexion de ces agents, mais il a plusieurs fois souligné que le simple fait que cet accès soit réservé à des agents habilités n’était pas suffisant pour protéger la vie privée.

Cette jurisprudence est inspirée d’un mouvement similaire à la Cour de justice de l’Union européenne. Le 8 avril 2014, la CJUE invalidait la directive sur la conservation des données de connexion dans son arrêt Digital Rights.

Elle soulignait la sensibilité des données de connexion qui « prises dans leur ensemble [elles] sont susceptibles de permettre de tirer des conclusions très précises concernant la vie privée des personnes (…) telles que les habitudes de la vie quotidienne, les lieux de séjour permanents ou temporaires, les déplacements journaliers ou autres, les activités exercées, les relations sociales de ces personnes et les milieux sociaux fréquentés par celles-ci ».

Et dans son arrêt Télé2 rendu le 21 décembre 2016, elle répétait que l’accès des autorités devait être entouré de solides garanties.

Les agents de la Hadopi bénéficient d'un accès trop « open-bar »

Retour à Hadopi. Les requérantes estiment que l’article L. 331-21 du Code de la propriété intellectuelle échoue à atteindre ces standards. Le texte offre un vaste accès aux « agents publics assermentés habilités par le président de la Haute Autorité » à « tous les documents » et donc à toutes les données de connexion (le qui, quand, comment, où, etc. d’un échange électronique). La loi n’est pas plus bavarde sur les garanties (modalité d’accès, finalités et motifs, traitement et conservation de ces données, etc.).

La situation est d’autant plus problématique que ce vaste accès concerne une contravention de 1 500 euros maximum pour défaut de sécurisation. Une sanction jugée nécessaire par les industries culturelles, mais qui, sur l’échelle normative ou sociale, ne pèse pas grand-chose face par exemple à la pédopornographie ou à la lutte contre le terrorisme.

Vers une annulation déportée dans le temps ? 

Le Conseil d’État rendra sa décision dans trois semaines, indique la Quadrature du Net au fil d’un « live-tweet ». Si la question de la conformité de l’article phare est transmise au Conseil constitutionnel, celui-ci rendra sa décision dans un délai de trois mois.

En imaginant que ce scénario se confirme, le Conseil constitutionnel pourra annuler cet article avec déport dans le temps. La technique est fréquente lorsqu'il s'agit d'éviter de faire tomber un édifice, ici Hadopi. Une telle solution permettrait au législateur de disposer du temps nécessaire pour corriger le tir, notamment à l’occasion des débats sur le projet de loi audiovisuel. Signalons néanmoins que le ministère de la Culture ne pourra pas feindre la surprise, ayant régulièrement été alerté de ce problème...

15

Écrit par Marc Rees

Tiens, en parlant de ça :

Sommaire de l'article

Introduction

L'absence de garantie dans l'accès aux données de connexion désormais sanctionnée

Les agents de la Hadopi bénéficient d'un accès trop « open-bar »

Vers une annulation déportée dans le temps ? 

Le brief de ce matin n'est pas encore là

Partez acheter vos croissants
Et faites chauffer votre bouilloire,
Le brief arrive dans un instant,
Tout frais du matin, gardez espoir.

Commentaires (15)


le ministère de la Culture ne pourra pas feindre la surprise…



et pourtant !!! <img data-src=" />


Je ne comprend pas l’acharnement contre cette noble institution qui se charge de la défense de nos intérêt commun face aux pirates sans foies ni noix qui s’attaquent à notre culture en tant de ruiner les sociétés d’ayants droits.



#OuPas


Comme d’hab, on fait des lois mais les lois c’est pour les autres ! <img data-src=" />


Ou, comme d’hab, on fait des lois au profit de quelques déjà riches, au détriment de la majorité des Français… et on espère qu’aucun journaliste/association/juge ne feront leur travail en révélant cette corruption <img data-src=" />


J’ai du mal avec le passage “le Conseil constitutionnel pourra annuler cet article avec déport dans le temps.“ça veut dire qu’on accepte le fait que cela ne soit pas légal/constitutionnel, mais que tant pis, on ferme les yeux le temps qu’on règle la situation proprement ?c’est constitutionnellement&nbsp;fondé comme principe ?


Oui, c’est qu’ils ont fait pour la loi sur la programmation militaire. La QDN avait relevé des défauts que le conseil a interdit. Le gouvernement a eu quelques mois pour corriger cela.


Sibla Hadopi cesse, avouez, la redac’, que votre meilleur ennemi vous manquerait, non? <img data-src=" />


“Signalons néanmoins que le ministère de la Culture ne pourra pas feindre

la surprise, ayant régulièrement été alerté de ce problème…”

&nbsp;Mouarf, comme si ça les avait déjà empêchés en quoi que ce soit. <img data-src=" />


Tu oubli les services de renseignement.<img data-src=" />


Hadopi, une manne nouvelle…



…pour les vendeurs de VPN !



Bref, on n’a pas fini de se marrer.



Rien que pour ça, j’adoooooorrre NXI !



<img data-src=" />








Commentaire_supprime a écrit :



Hadopi, une manne nouvelle…



…pour les vendeurs de VPN !







Avec autant de risques qu’il existe de vendeurs de VPN. Genre dernièrement celui dont la bite s’est faite lustrer par la quasi totalité des youtubeurs et qui a été victime de piratage.



Autant louer un VPS dans un autre pays et installer son propre VPN. Plus y’a d’intermédiaires dans la chaîne, plus c’est de la merde et dangereux.









SebGF a écrit :



Avec autant de risques qu’il existe de vendeurs de VPN. Genre dernièrement celui dont la bite s’est faite lustrer par la quasi totalité des youtubeurs et qui a été victime de piratage.



Autant louer un VPS dans un autre pays et installer son propre VPN. Plus y’a d’intermédiaires dans la chaîne, plus c’est de la merde et dangereux.







Le mien, c’est BlackVPN.



Ça fonctionne, mais c’est 50€/an, on n’a rien sans rien.



Je n’ai pas d’info sur cette histoire de problème de sécurité avec un vendeur de VPN, c’est pas le mien j’espère ?



EDIT : c’est le concurrent, NordVPN, d’après ce que j’ai compris, qui s’est fait hacker.









Commentaire_supprime a écrit :



Le mien, c’est BlackVPN.



Ça fonctionne, mais c’est 50€/an, on n’a rien sans rien.





Je ne pensais pas que c’était aussi cher. Pour le coup ça rend effectivement le VPS intéressant pour un usage raisonnable (il peut y avoir des limites sur le trafic pour les VPS).



En regardant vite fait mal fait chez OVH (pas forcément le moins cher j’imagine), un VPS “SSD” avec 100mbps illimité (sauf en Asie et Australie) et le choix du datacenter, c’est 36€HT/an. (le lien avec le devis passait pas)



Après c’est sûr qu’il faut un peu de mise en oeuvre derrière, c’est pas out of box comme ces services, ce qui a un prix. (mais bon, c’est aussi pour ça que des outils comme Ansible existent <img data-src=" /> )


J’avais notion que chez OVH les VPS étaient limités en volume de données justement, mais en vérifiant mon contrat c’est 10 To par mois, donc c’est pas vraiment un problème pour un usage VPN pour quelques personnes ou un très gros consommateur. Pour les paranos, il faut trouver un fournisseur hors de la zone d’influence de la France, mais dans la pratique la riposte graduée ne fonctionne qu’avec les gros FAI Français. Je ne pense pas que les IP d’OVH soient concernées (celles d’Online ne le sont pas, par exemple).