Pour tester son prestataire courriers, la Hadopi va s’auto-menacer

Nous avons eu de nouveaux détails sur le marché public de la Hadopi relatif au traitement des courriers. Rappelons que la Hadopi a lancé en avril un marché pour gérer en nombre les lettres remises contre signature dans le cadre des phases d’avertissements. L'opération sera source d'économie d'échelle pour l'autorité administrative, qui sait dans le même temps qu'elle sera risquée techniquement.

À partir du deuxième avertissement, la Hadopi ne peut plus se contenter des emails. Elle doit adresser ses recommandations par lettre « remise contre signature » (article R.331-40 du CPI). En cas de nouveau flashage de l’IP dans les 12 mois, la Hadopi peut transmettre le dossier au procureur de la République après avoir adressé à l’abonné une autre lettre remise contre signature. Elle vise à recueillir ses observations et le notifier que ces faits sont susceptibles de poursuites pénales.

Des vagues de 1000 courriers tous les trois jours

Problème, envoyer des lettres contre signature n’est pas neutre économiquement. La Hadopi a déjà adressé plus de 150 000 lettres de ce type, selon le dernier pointage. Elle monte actuellement en puissance épaulée par un système d’information capable de traiter l’ensemble des 125 000 dénonciations par jour adressées (ou adressables) par les cinq organisations d'ayants droit.

En quête d’économie d’échelle, la Rue de Texel a donc lancé un marché pour un montant maximal de 330 000 euros. D'une durée d'un an, non renouvelable, il vise à confier à un tiers ces opérations. Edition, mise sous pli, envoi, rapport à la Commission de protection des droits, tout est programmé. 

Quel volume ? Dans des documents que nous nous sommes procurés, la Hadopi programme des vagues d’envois tous les deux à trois jours ouvrés. Chaque « envoi contient un ou plusieurs fichiers (PDF) cryptés comprenant chacun au maximum 1000 courriers. » A compter de la réception, le titulaire du marché devra alors d’expédier les lettres remises contre signature dans un délai de trois jours ouvrés maximum. Des milliers de courriers pourront donc partir chaque jour de ce prestataire, si les maximums sont atteints.

L'obligation de sécurisation du prestataire

Sur le terrain de la sécurisation, L’échange des données se fera par canal sécurisé avec le système d’information de la Commission de Protection des Droits (VPN). Les données personnelles seront en outre chiffrées histoire de limiter les risques fâcheux.

L’appel à un prestataire extérieur est en effet source d’inquiétudes pour la Hadopi. La Haute autorité lui demande ainsi de s’engager « à mettre en œuvre les mesures techniques et organisationnelles appropriées pour protéger les données à caractère personnel reçues ou collectées (…) contre une destruction accidentelle ou illicite, une perte accidentelle, une altération, une divulgation ou un accès non autorisé, et contre toute autre forme illégale de traitement ». Elle lui réclame aussi de tout faire pour empêcher les intrusions non autorisées « que ce soit sur son système automatisé de traitement de données dédiées à l’HADOPI (et) sur les équipements intermédiaires assurant l’interconnexion avec le Système d’Information de la Hadopi. »

Ce n’est pas tout. « De manière globale, le titulaire veillera à contrer tout type d’attaque ayant pour but l’intrusion dans le système d’information de la HADOPI par l’intermédiaire de son système d’information et la fuite des données transmises au titulaire pour traitement ». Les fichiers importants du système cible de l’Hadopi « ne devront en aucune manière pouvoir être consultés ou exportés en clair » et « le déchiffrement des fichiers et l’intégration des fichiers dans le système de gestion de courrier doivent s’opérer de manière entièrement automatisée. »

Obligation de confidentialité, algorithmes de chiffrement, gestion des clés sécurisée et mise à jour permanente des logiciels et matériels des derniers correctifs de sécurité sont encore au programme.

Audit annoncé 10 jours avant, lettres piégées

La Hadopi s’octroie évidemment un pouvoir d’audit dans les tréfonds du titulaire de ce marché, L’effet de surprise sera assez limité puisque « l’Hadopi préviendra des audits 10 jours ouvrés à l’avance ». Elle pourra aussi exercer un contrôle pour se faire remettre tous les éléments jugés utiles.

Elle avertit enfin son futur cocontractant : elle va s’adresser des lettres témoins en se dénonçant elle-même dans le flux des milliers de données adressées : « L’Hadopi se réserve la possibilité de réaliser des contrôles afin de vérifier la bonne exécution des prestations par le titulaire, l’effectivité et l’efficacité de ses moyens de contrôle, de suivi ou de reporting, en procédant par tout moyen et, notamment le cas échéant, en insérant dans les fichiers envoyés au titulaire et contenant les lettres remises contre signature à envoyer, des « lettres témoins » dont elle sera destinataire ».

• Le cahier des clauses particulières de ce marché public