lundi 26 juillet 2010

Hadopi est prête ! (à saturer)

Un dossier publié par www.pcinpact.com





Hadopi est prête ! (à saturer)

Rédigé par Marc Rees
Le 29 juin 2010


Hier la Hadopi a organisé sa deuxième conférence de presse de son existence. Une petite salle, sans fenêtre, au niveau -1. L’Autorité se voulait modeste en ces temps rigoureux, manière de faire oublier les 1100 m² qui trônaient au-dessus de notre tête. Le rendez-vous était cependant intéressant, car l'Hadopi tentait d’expliquer l’avancement des travaux et les vocations pédagogiques d’un texte répressif… mitraillé de Z.I.S (zones d’incertitudes sévères).

hadopimarie françoise marais

Marie Françoise Marais, présidente de la Hadopi


Négligence caractérisée, moyens de sécurisation, agenda, les 50 000 « incidents » (IP) dénoncés chaque jour par les ayants droit et gérés par trois personnes, un texte « rugueux » juridiquement, techniquement sulfureux… À aucun moment d’ailleurs le sujet de l’offre légale n’a été abordé. Preuve que les ombres d’Hadopi et de son volet répressif plongent toujours plus profondément ce thème crucial dans les abysses.

Agenda

Marie-Françoise Marais, présidente du Collège de la Hadopi, a fait preuve de détermination, de volontarisme : « Hadopi est opérationnelle ». Comme un missile sur sa rampe de lancement. Marais signifie par là qu’Hadopi est prête d’un côté à recevoir les dénonciations d’IP flashées du côté des ayants droit. De l’autre, à soumettre ces IP aux FAI pour identifier les abonnés accusés de négligence caractérisée. « Le travail préparatoire se termine après un travail intensif avec les ayants droit et les FAI puisqu’on arrive à la finalisation des aspects techniques de l’échange des données et qu’est abordée une phase de test. »

« Se termine », « finalisation », on reste cependant toujours dans la transition. D’ailleurs Marais précisera « nous pouvons nous mettre au travail rapidement », mais… que les recrutements sont toujours en cours au sein de la Commission des Droits (CPD), cœur du dispositif Hadopi appelé à digérer jusqu’à 50 000 alertes quotidiennement. « La saisine de la CPD est imminente, la CPD va se mettre très prochainement au travail », positive encore Marie-Françoise Marais, sûre de son système digestif.

hadopi toubon walter


Message repris un peu plus tard avec le même optimise par sa collègue, présidente de la Commission de protection des droits, Mireille Imbert-Quaretta : « la CPD est en l’état, dans les jours qui viennent, de remplir sa mission dès que les titulaires des droits lui auront adressé leurs PV ».

Mais alors, quand ? « La CPD n’a pas encore décidé de la date à laquelle elle enverrait les premiers courriels. Toutes les dates que j’ai vues fleurir, en disant ce sera le 21 juin, ou ceci, ou cela, il n’y a que trois personnes qui peuvent décider de la date, et on n’a jamais dit la date. Jamais, jamais, jamais ! (…) Ce n’est pas qu’on ne veut pas dire, c’est parce que la CPD veut avoir des certitudes avant d’envoyer les premiers courriels. Elle est décidée à montrer une extrême rigueur dans le traitement des données personnelles pour en assurer la protection. En particulier avant d’envoyer les premiers courriels, elle veut être sûre que les données personnelles seront effacées du système dans le délai fixé dans le décret. Elle veut en avoir la certitude. Elle veut avoir la certitude qu’il n’y aura pas de divulgation de données personnelles par des personnes non autorisées à les connaître ». Sans certitude sur la sécurisation du système, la CPD n’appuiera donc pas sur le bouton.


Décrets

Juridiquement, on le sait, le 26 juin dernier a été publié le décret qui définit la négligence caractérisée. La Hadopi le répètera plusieurs fois : la loi en question ne s’attaque pas à la contrefaçon, au téléchargement, mais un manquement à une obligation particulière : la négligence caractérisée dans l’obligation de surveillance de son accès internet.

L’abonné qui risque une contravention assortie d’une coupure est celui qui n’aura su sécuriser son accès internet (prévenir des échanges illicites via « son accès ») malgré plusieurs alertes envoyées par la CPD.

Autre texte important : le décret définissant la « procédure » conduite devant et par la Commission dans la mise en œuvre de la réponse graduée. Il sera lui, bientôt publié, assure la Hadopi. Il est soumis actuellement au Conseil d’État et devrait paraitre courant du mois de juin. Deux autres décrets sont attendus, celui sur la labélisation des moyens de sécurisation et celui de l’offre légale.

Un dernier est attendu pour définir les formes de la transmission des dossiers au Parquet, puisqu’en bout de route, c’est un juge qui décidera, ou pas, d’infliger la sanction finale. « Ce décret n’est pas essentiel et ne fait pas obstacle au démarrage qui va être très prochainement mis en place ». La CNIL ayant autorisé voilà peu les ayants droit « musique » à glaner les IP, la Hadopi s’estime prête à fonctionner, bientôt.

hadopi mireille imbert quaretta



L’indépendance de la HADOPI par rapport aux titulaires de droits

Le décret de procédure devra réaffirmer clairement l’autonomie de la mission de la CPD. Mais dès à présent, la CPD se veut claire : « Si les ayants droit déterminent leur politique par rapport aux œuvres qu’ils entendent protéger, la CPD déterminera librement la façon dont elle traitera les saisines selon des critères qu’elle déterminera elle-même si elle décide de ne pas donner suite à toutes les plaintes, mais là aussi ce sera une décision de la CPD ».

On comprend ici que les ayants droit vont transmettre via l’entreprise de surveillance TMG jusqu’à 50 000 IP chaque jour, et la CPD décidera de faire de ce stock ce qu’elle voudra, comme elle voudra. Il pourra y avoir 50 000 avertissements envoyés chaque jour, ou 5000 ou 500 ou 50 ou 5 ou pas.

« Cette autonomie de la CPD s’explique par le fait qu’elle doit garantir le droit de toutes les personnes qui interviennent. Garantir l’équilibre entre les « victimes », les titulaires des droits, et les abonnés mis en cause. La CPD ne décidera de transmettre des dossiers au parquet que lorsqu’elle n’aura aucun doute sur le fait que le titulaire de l’abonnement est bien l’auteur de la contravention. » L’IP, les moyens de sécurisation, la négligence caractérisée étant autant de sources de doute, on voit assez rapidement toute la poésie qui se cache derrière l’expression « aucun doute ».


Comment la CPD va appliquer le décret de négligence caractérisée ?

Mireille Imbert-Quaretta, présidente de la Commission de protection des Droits : « Entre Hadopi 1 et Hadopi 2 il n’y a pas eu simplement le remplacement de l’autorité chargée de prononcer les sanctions (d’une autorité indépendante à une autorité juridictionnelle) et notamment celle de suspension d’accès à Internet. Ce passage a entrainé tout un changement dans les modalités de traitements des saisines par la CPD. Certes, in fine, c’est la justice qui prononcera la sanction, mais l’intervention de la CPD doit faire en sorte que les dossiers qu’elle décidera de transmettre au parquet répondent à ce qui est attendu d’une poursuite pénale. Une sanction pénale, ce n’est pas une sanction administrative comme ce qui était prévu dans HADOPI 1 ».

hadopi toubon


Bref, c’est ici du lourd, du sérieux. Droit de la culpabilité, le droit pénal est par nature nettement plus exigeant dans son formalisme, son essence. « Ce changement de sanction administrative à sanction pénale, cela a eu des conséquences sur l’élaboration des PV par les agents des titulaires de droits (TMG, ndlr) : on demande plus de précisions, on a travaillé, fait passer des messages, pour que ces PV répondent à un certain nombre d’exigences que la CPD a fait valoir. »

Ce point est précieux. Dans les délibérations de la CNIL révélées dans nos colonnes, nous avons vu que les ayants droit travailleront avec des seuils. Ils glaneront pendant 24h des données échangées sur une IP, puis feront les comptes. Si l’abonné a échangé moins d’un certain nombre de fichiers, son dossier est transmis à Hadopi. Sinon, son IP est surveillée pendant 15 jours au terme desquels on fait à nouveau les comptes : les cas importants pourront faire l’objet d’une demande de dommages et intérêts devant le juge civil. Les cas les plus graves pourront faire l’objet d’une plainte pour contrefaçon au pénal.

Selon ce que nous avons appris hier, les ayants droit avaient tenté de faire quelques économies : fournir ces données sans les horodater à la seconde près, se contentant d’une approche par lot de 24h. Une demande rejetée par la CPD, et les ayants droit ont dû faire preuve de plus de professionnalisme. Nous y reviendrons.

Seedfuck

Visiblement, la CPD a été alertée de la problématique Seedfuck puisqu’elle a également exprimé des exigences quant à l’identification précise des personnes correspondantes aux IP recueillies par les agents. Via les délibérations de la CNIL, on sait que les ayants droit fourniront en plus de l’IP, un segment téléchargé du fichier échangé, manière de diminuer un peu le risque de fausses accusations.

En quête de critères

La CPD se verra transmettre jusqu’à 50 000 incidents/jour par les agents des ayants droit. Une charge impossible à traiter par trois personnes. La CPD dit qu’elle tente de définir une volumétrie, des critères de choix dans les dossiers à instruire, mais sans plus. On ne sait pas si elle choisira les IP au hasard, ou en fonction de la « fraicheur » des titres (un internaute échangeant un album MP3 pas encore sorti pourrait subir plus d’attention qu’un autre fan de Fernandel), ou de la volumétrie (c'est ce qu'avait choisi le gouvernement lors d'une circulaire prise en application de la loi DADVSI).

hadopi marais


L’incrimination de négligence caractérisée

Le cœur d’Hadopi est une contravention : la négligence caractérisée.

Pour que l’infraction soit constituée, plusieurs conditions devront être vérifiées, prouvées, démontrées. Un petit Vietnam juridique :

  1. L’absence de tout moyen de sécurisation (l’abonné ne fait rien pour en mettre un, n’installe rien pour prévenir un téléchargement illicite)

  2. l’abonné a manqué de diligence « dans le maintien opérationnel de ce dispositif »

  3. l’abonné a été mis en demeure par l’envoi d’une recommandation d’avoir à installer à un système de sécurisation ou de le rendre opérationnel.

  4. L’abonné a été de nouveau mis en demeure d’installer un tel système ou de l’activer dans l’année qui suit l’envoi d’une lettre recommandée.

  5. L’abonné n’a pas exprimé de motif légitime pour expliquer pourquoi il n’avait rien installé ou pas maintenu un moyen de sécurisation

C’est la première fois en droit pénal où l’envoi d’une lettre recommandée est un élément constitutif de l’infraction. « Je n’ai pas trouvé de précédent » selon Mireille Imbert-Quaretta, magistrate pénaliste à la Cour de cassation.

À chaque stade, l’abonné pourra cependant s’échapper des mâchoires d’Hadopi s’il parvient à démontrer comme dit ci-dessus « un motif légitime ». C’est une porte ouverte à la discussion puisque l’abonné pourra sortir à peu près n’importe quelle excuse pour justifier son défaut de sécurisation… Des excuses appréciées souverainement par la Commission des droits (j’étais en vacances, à la piscine, etc. lors du flashage).


Moyen de sécurisation : tout mais pas n’importe comment

Avec Hadopi, l’abonné français sera chaudement invité à définir et mettre en œuvre un moyen de sécurisation pour prévenir la négligence caractérisée.

De fait, tout peut être moyen de sécurisation : un conseil d’une mère à son enfant (si tu télécharges, tu es privé de bonbons), un père qui cache la box sous son lit, ou qui installe un verrou Orange. Tout est moyen de sécurisation.

hadopi toubon


On le sait, la Hadopi va labéliser des moyens de sécurisation, mais contrairement à Hadopi 1, il n’y pas de lien entre l’incrimination pour négligence caractérisée et le moyen de sécurisation labélisé par la HADOPI. Explication : cela fait peut-être mal à l’esprit qui a suivi de loin les discussions, mais un abonné qui installe ce moyen labélisé pourra malgré tout être sanctionné par Hadopi car la présence du moyen de sécurisation labélisé n’est pas un fait exonératoire de la sanction pénale. Il y a un découplage.

De fait, tout peut être moyen de sécurisation, mais pas n’importe quoi. A chacun de faire preuve d’originalité. Une certitude : un moyen de sécurisation du type « ce n’est pas moi » ne suffira pas, car le moyen de sécurisation « doit être adapté à l’infraction et à la personnalité de l’abonné » La CPD va donc apprécier à chaque stade la pertinence des moyens de sécurisation et les suites à donner. Une charge de travail supplémentaire. Une porte de sortie de plus pour l’internaute.

Et au final, c’est une délibération du collège de la Hadopi qui décidera ou non d’un transfert au parquet. D’ailleurs tout au bout de la route, avant la sanction finale, il faudra en outre « une enquête de police voire une instruction avec expertise. Lourd et coûteux, et aux antipodes de la logique de la loi qui voulait une machine à suspendre les abonnements », dixit Maitre Eolas.

Un texte dissuasif, une autorité qui « peut » ou « peut ne pas »

« La CPD est tout le contraire d’un radar automatique » se satisfait faute de mieux Mireille Imbert-Quaretta. Et on la comprend.

Saisie d’une IP, la CPD ne sera jamais obligée de sanctionner l’abonné. Elle « peut » et « peut ne pas » pousser le processus de sanction jusqu’au bout,. Cette grande liberté n’est pas une nouveauté. On l’avait déjà expliqué : si l’Hadopi avait été une machine à envoyer des lettres recommandées sans marge de manœuvre, 50 000 lettres chaque jour auraient mangé son budget en très peu de temps. Et aurait gavé celui de la Poste.

Dénonciation de l’article 40 du CPP

Cette grande liberté confère à la Hadopi une position particulière au regard de l’article 40 du CPP

Selon l’article 40 du code de procédure pénale « Toute autorité constituée, tout officier public ou fonctionnaire qui, dans l'exercice de ses fonctions, acquiert la connaissance d'un crime ou d'un délit est tenu d'en donner avis sans délai au procureur de la République et de transmettre à ce magistrat tous les renseignements, procès-verbaux et actes qui y sont relatifs. »

En clair, quand une autorité est alertée d’un délit (par exemple une possible contrefaçon), elle doit saisir le parquet. On pouvait craindre que la Hadopi alertée d’un défaut de sécurisation touchant à un fort soupçon de contrefaçon soit contrainte de transmettre au parquet… Ce n'est d'ailleurs pas une nouveauté puisque ce risque de boule de neige avait été évoqué plusieurs fois dans le passé (voir cette actualité, ou lors des débats à l'Assemblée nationalke de l'aveu même de Franck Riester (" si la HADOPI s’aperçoit qu’il y a manifestement un délit de contrefaçon et un commerce illicite vraiment manifeste, elle pourra transférer le dossier au juge pénal – c’est l’article 40 du code de procédure pénale dont on vient de parler."), ou lors du recours devant le Conseil constitutionnel).

Mais la présidente de la Commission de la protection des droits ne partage pas cette analyse. Elle estime le texte de l’article 40 inapplicable : « comme l’intervention de la CPD est un des éléments constitutifs de l’infraction, et que législateur a pris la peine de dire qu’elle 'pouvait' à tous les stades, elle n’est pas dans ce cadre. [La CPD] a une certaine opportunité des poursuites, si je peux me permettre… Mais ne le répétez pas au ministère de la justice, parce que cela les chiffonne un peu qu’il y ait une institution qui ait comme le procureur une certaine opportunité des poursuites ». Ou plutôt l’opportunité de saisir celui qui peut poursuivre, rectifiera lors de la conférence Jacques Toubon.

hadopi mireille imbert quaretta marais walter toubon


Toi aussi, apprends à saturer Hadopi

Malgré toutes ces portes de sortie, tout ce travail immense, et ce système au bord de la saturation par noyade, l’intéressée estime que l’énoncé du décret définissant la négligence caractérisée rend parfaitement possible la sanction, et permet ainsi de muscler l’effet dissuasif du texte. Un texte pour faire peur et trembler « les personnes négligentes ou celles qui n’ont pas pleinement conscience de commettre l’infraction ». Il suffit d’y croire. « Ce n’est pas parce que c’est subtil que c’est flou » affirmera Mireille Imbert-Quaretta. Qui reconnaitra dans le même temps des incertitudes importantes dans la mise en place ou l’efficacité du terme. Elle glissera au passage : « La hadopi va mettre un système pour suivre la réaction à la suite des premiers mails »

Certains pourront être charmés par cette élasticité, signe de discussion, d’échanges, d’ouverture entre l’abonné et la HADOPI, mais on le sent déjà : il suffira dès le premier courriel, que l’abonné sollicite les œuvres qui ont été trouvées sur son accès internet et qu’il fasse des observations (c’est son droit)), qu'on fasse pleuvoir quantité de « motifs légitimes » justifiant l'absence de moyens de sécurisation, que l'abonné invente des moyens de sécurisation toujours plus exotiques, dont la CPD devra mesurer la « pertinence », et ce plusieurs milliers de fois par jour, et vous pourrez dire bonne nuit à Hadopi.

Publié par à

Aucun commentaire:

Enregistrer un commentaire

Inscription à : Publier les commentaires (Atom)