OWNI http://owni.fr News, Augmented Tue, 17 Sep 2013 12:04:49 +0000 http://wordpress.org/?v=2.9.2 fr hourly 1 Hadopi « peut » ou peut « ne pas » http://owni.fr/2010/06/26/hadopi-%c2%abpeut%c2%bb-ou-peut-%c2%abne-pas%c2%bb/ http://owni.fr/2010/06/26/hadopi-%c2%abpeut%c2%bb-ou-peut-%c2%abne-pas%c2%bb/#comments Sat, 26 Jun 2010 12:02:03 +0000 Astrid Girardeau http://owni.fr/?p=19988 Jeudi dernier, la Hadopi (Haute autorité pour la diffusion des œuvres et la protection des droits sur internet) était auditionnée en Commission des affaires culturelles et de l’éducation, à l’Assemblée nationale. Plus précisément sa présidente, Marie-Françoise Marais, son secrétaire général, Éric Walter et Mireille Imbert-Quaretta, présidente de la commission de protection des droits (CPD). Le compte-rendu de l’audition est disponible sur le site de l’Assemblée nationale. Résumé.

Calendrier

Tout d’abord, Marie-Françoise Marais tient à préciser que “si d’aucuns critiquent les délais, le calendrier réglementaire se déroule normalement”. À propos de l’envoi des premiers mails d’avertissement, elle déclare : “le système d’information sera opérationnel d’ici à la fin du mois. Il sera alors techniquement possible d’envoyer les premiers avertissements.” Avant d’ajouter plus loin : “Nous sommes prêts sur le plan technique à intervenir du jour au lendemain (…) je n’ai pas d’angoisse quant aux décrets.”

Justement, à propos des quatre décrets qu’il reste encore à publier, elle précise : le décret relatif à l’infraction de négligence caractérisée est passé devant le Conseil d’État et devrait être publié à la fin du mois, tout comme le décret relatif à la procédure devant la CPD.” On devrait donc bientôt savoir ce que cache la notion de “négligence caractérisée” d’un accès Internet prévue par la loi Hadopi 2 à l’article L335-7-1 du code de la propriété intellectuelle [maj : il vient juste d'être publié au Journal Officiel ndlr]. Et avoir des détails sur l’instruction des dossiers et donc le mécanisme de sanctions. Système qui devra ensuite être validé par la Cnil comme elle nous le rappelait il y a quelques jours : “ce décret n’est pas encore paru, donc il n’a pas encore été été soumis à la Cnil. Aujourd’hui, le volet pénal ne peut donc pas être mis en œuvre.”

Concernant les deux autres décrets, relatifs à l’offre légale et aux moyens de sécurisation, Marie-Françoise Marais indique qu’ils “sont attendus au plus tard début juillet. Et qu’“une première version” de la rédaction des spécifications fonctionnelles des moyens de sécurisation, confiée à Michel Riguidel, “sera présentée fin juin au collège de la Haute autorité”. Éric Water précise : “Si elle donne satisfaction, nous passerons à la seconde étape prévue par le législateur, une consultation publique sur ces spécifications fonctionnelles, avant qu’elles ne deviennent l’outil de référence.”

50 000 saisines par jour ou pas

Mireille Imbert-Quaretta se fait plus évasive  : “On nous interroge beaucoup sur les dates d’envoi des premiers mails. Tant que nous n’avons pas délibéré, nous ne pouvons ni les connaître, ni savoir combien nous enverrons d’avertissements. Il est vrai qu’on nous annonce 50 000 saisines par jour. Mais je rappelle que la CPD « peut »… ou peut « ne pas ».

Interrogée sur les critères retenus pour sanctionner telle ou telle adresse IP, elle reporte cette question à la réception des premières saisines : “Nous n’avons pas encore toutes les réponses, puisque nous n’avons pas encore été saisis…” Avant d’indiquer : Nous ne traiterons pas 50 000 saisines par jour, mais peut-être pourrons-nous le faire in fine, au moins pour le premier mail. Rien ne nous limite cependant à l’envoi de ces premiers mails. Tout cela va être défini par la CPD, sachant que ne traiter qu’une partie des plaintes n’est pas non plus un objectif…”.

Avant encore d’ajouter plus loin : “Je ne puis vous répondre aujourd’hui sur la volumétrie, ni vous dire à quelle date nous déciderons d’envoyer les premiers mails. Nous sommes techniquement prêts à envoyer les premières recommandations, mais nous ne le ferons que lorsque nous serons assurés d’une parfaite sécurité en termes de protection des données personnelles. (…) Il est d’une importance capitale de mettre en œuvre un système sans le moindre risque sur ce point.”

Négligence caractérisée

Concernant la négligence caractérisée, toujours Mireille Imbert-Quaretta rappelle qu“il n’y a plus de lien entre la constitution de négligence caractérisée et la mise en œuvre d’un moyen de sécurisation labellisé par la Hadopi. Dans la loi Hadopi 1, il y avait quasiment présomption de responsabilité et automaticité ; la mise en place d’un outil de sécurisation était donc une cause exonératoire. Désormais, cette cause n’a plus de raison d’être.”

Sur la définition même de la négligence caractérisée, et son appréciation par la CPD, elle précise : “nous sommes l’autorité qui va traiter les plaintes ; nous ne négocions pas plus qu’un officier de police judiciaire ne négocie avec les victimes. Nous allons donc être saisis de ce que les titulaires de droits considèrent comme des infractions, des faits matériels susceptibles de constituer un délit de contrefaçon. C’est nous qui allons établir la négligence caractérisée.Puis d’indiquer : la négligence caractérisée, ce n’est pas le téléchargement illégal : elle concerne précisément ceux qui ne se rendent pas bien compte de ce qu’ils font. Mais nous ne pourrons en savoir plus que lorsque les premiers mails auront été adressés et que leurs destinataires nous auront répondu.”

Traitement au “cas par cas”

Plus tard, elle revient sur la notion de traitement “au cas par cas”, et l’adaptation des critères aux retours des premiers destinataires des mails d’avertissement : “Lorsque nous aurons (…)  reçu un certain nombre de réponses – à mon avis à l’automne – nous aurons une idée du nombre d’internautes qui répondent et du nombre de ceux qui demandent les œuvres. Imaginons qu’il s’agisse d’enfants ou d’adolescents et que leurs parents, titulaires de l’abonnement, les privent d’accès Internet après avoir découvert ce qui s’est passé : c’est un moyen de sécurisation ! Il faut donc laisser ouverte la possibilité de prendre en compte les observations de tous ceux qui nous apporteront des réponses. La CPD, c’est du « cousu main » !”

“Mais vous n’êtes que trois personnes. Je vois mal comment vous pourrez traiter l’ensemble des saisines” s’interroge alors le député (UMP) Lionel Tardy.

Après avoir rappelé qu’avec les suppléants, ils sont six et non trois, Mireille Imbert-Quaretta répond : “La volonté du législateur n’est pas de pénaliser en masse. Selon l’étude d’impact de la loi, 80 % des cas de négligence caractérisée disparaîtraient après le premier mail, et 90 % après la deuxième lettre recommandée. Je le redis, nous ne nous occupons pas des pirates.” Et plus loin de redire : “À partir du moment où une délibération entre les trois membres du CPD est nécessaire avant toute transmission au parquet, il est évident que nous n’enverrons pas 100 000 dossiers par an.

Les logiciels de sécurisation

Selon Eric Walter, les éditeurs de moyens de sécurisation sont nombreux sur le marché. Et il est “probable qu’un certain nombre d’entre eux se déclareront prêts à essayer de répondre aux critères définis par ces spécifications fonctionnelles”. Répondant aux inquiétudes quand aux problèmes soulevés par le logiciel anti-peer-to-peer d’Orange, il indique : “Cela n’a en effet pas été le cas du logiciel Orange. L’éditeur a voulu aller vite, mais dans le cas présent il n’était pas possible d’anticiper.” Éludant par là la question, soulevée par de nombreux parlementaires, sur le lien direct entre ce logiciel et Hadopi.

Le député (PS) Patrick Bloche s’interroge alors : “Comment pouvez-vous renvoyer, dans le mail, à des logiciels de sécurisation qui n’ont pas été labellisés au préalable ?”

Mireille Imbert-Quaretta répond : “La loi nous dit que nous pouvons envoyer des informations sur l’existence de moyens de sécurisation. Un autre article nous dit que les FAI ont l’obligation d’offrir des moyens de sécurisation. La loi « Hadopi 2 » ne dit pas que dans l’avertissement, la CPD doit envoyer des informations sur les moyens de sécurisation labellisés par la Hadopi. Les avertissements rappelleront donc qu’il faut sécuriser et que les FAI ont l’obligation d’offrir des moyens de sécurisation ; mais nous n’allons pas imposer des moyens de sécurisation labellisés. En revanche, lorsque l’internaute aura installé un système labellisé, son cas sera examiné avec une attention bienveillante…”

Cela confirme que les premiers mails d’avertissement ne contiendront pas la liste des logiciels de sécurisation, mais ne feront que rappeler à l’abonné qu’il faut sécuriser son accès. Mireille Imbert-Quaretta se base sur l’article 331-26 du texte de la loi Création et Internet qui dit “peut” envoyer et non “doit”. [maj] Surtout, il dit que la recommandation contient «une information (…) sur l’existence de moyens de sécurisation”. Et “des” moyens labellisés par l’Hadopi.

Par contre, à aucun moment, le texte ne dit que les FAI ont l’obligation d’offrir des moyens de sécurisation. L’article 331-5 dit que les FAI “doivent informent leurs nouveaux abonnés et les personnes reconduisant leur contrat d’abonnement sur l’offre légale de contenus culturels en ligne, sur l’existence de moyens de sécurisation”. Et l’article 331-32 que ces derniers seront consultés pour la rédaction du cahier des charges par la Hadopi de ces outils.

Conflit d’intérêt ?

À propos de Michel Riguidel, chargé de définir le cahier des charges de ces moyens de sécurisation, le député Lionel Tardy (UMP) demande : “M. Riguidel a déposé avec un ancien conseiller de Mme Christine Albanel un brevet sur le filtrage : cela ne constitue-t-il pas un conflit d’intérêts, les mesures défendues par la Hadopi pouvant avoir un impact sur l’avenir patrimonial du brevet ?”

Et Marie-Françoise Marais de répondre : Je voudrais vous dire un mot, en tant que magistrat, des experts. J’ai eu à connaître, tout au long de ma carrière, de très nombreuses affaires de brevets. Dans ce domaine, lorsqu’on a recours à un expert, il faut qu’il soit très pointu, et par conséquent issu du milieu. Ce n’est donc pas parce qu’un expert a lui-même déposé un brevet qu’il doit être suspecté de partialité. Les experts dignes de ce nom ne se trouvent que sur le terrain – et ceci est une règle générale pour nous magistrats.”

Seulement le peer-to-peer ?

Les autorisations données par la Cnil aux ayants droit pour la collecte et la transmission d’adresses IP ne concernent que les échanges réalisés sur les réseaux peer-to-peer. “Les autres utilisations d’Internet (web, envoi de mails, réseaux sociaux, etc.) ne sont pas concernées”, rappelait récemment Yann Padova, de la Cnil.

Citant Frank Riester, le député (PS) Patrick Bloche s’interroge : “Lors de l’examen de la loi « Hadopi 2 », le rapporteur, convenant que le peer-to-peer était dépassé et que nous étions à l’ère du streaming, a assuré que la Hadopi pourrait également contrôler ce type de pratique. Qu’en est-il ?”

Marie-Françoise Marais répond : “Nous nous occupons du peer-to-peer. On nous dit qu’il serait déjà dépassé, mais la loi ne limite pas les missions de la Hadopi. Rien n’exclut donc que nous nous attaquions au streaming et aux autres techniques qui surgiront immanquablement : la Hadopi doit être à même de suivre les évolutions techniques d’Internet et de s’y adapter.”

Le budget de la Hadopi

Sur le budget de la Hadopi, Marie-Françoise Marais indique : “le Parlement a voté deux budgets prévisionnels, qui s’élevaient respectivement à 6,7 millions d’euros pour 2009 et à 5,3 millions pour 2010. Le budget pour 2009 n’a été que très partiellement consommé – d’où sa réduction l’année suivante. (…)  Après avis de la CPD, les membres du collège délibèrent sur le montant des crédits nécessaires et sur le budget annuel, ainsi que sur ses modifications en cours d’année. Le budget prévisionnel couvre les premières dépenses courantes, un deuxième doit être adopté lors de la prochaine réunion du collège. D’ici la fin juin, nous proposerons un projet de budget annuel et des demandes de crédits pour 2011-2013.” Et Éric Walter de préciser : au total, le budget 2010 s’élève donc à environ 10 millions d’euros, financés à la fois par la loi de finances pour 2009 et par la loi de finances pour 2010.”

Revenant sur le nombre de mécanisme de riposte graduée décrit par les membres de la Hadopi, le député (PS) Marcel Rogemont réagit alors : “si vous ne deviez établir que dix infractions par an pour un budget dépassant les 10 millions d’euros, cela ferait cher de l’infraction !”

Et le coût des mesures techniques ? s’interroge Patrick Bloche. Eric Walter répond : “pour être franc, je n’ai pas pris connaissance du rapport du Conseil général des technologies de l’information (CGTI), dont est tiré le chiffre de 70 millions d’euros.” Selon lui, “une confusion s’est opérée entre le coût de l’aménagement des infrastructures nécessaires pour procéder aux éventuelles suspensions d’accès à Internet et le coût de l’identification des adresses IP.” Sans pour autant revenir sur le coût de ces aménagements et sur qui le prendra en charge. Se contentant d’indiquer :“S’agissant de la compensation financière, il n’existe pas à ma connaissance de blocage avec les opérateurs.”

… et le salaire de sa présidente

Suite aux révélations par le Canard Enchaîné que Jeannette Bougrab, présidente de la Halde, aurait fait voter le doublement de son salaire, Lionel Tardy demande alors à Marie-Françoise Marais, “dans un souci de transparence”, “d’indiquer [ses] rémunérations et avantages liés à [ses] différentes fonctions”.

“Quant à mon salaire, répond-elle, il s’agit d’une indemnité qui doit faire l’objet d’un arrêté conjoint des ministres de la Culture et des Finances. Celui-ci n’a pas encore été pris. Il en va de même pour les membres de la Hadopi.”

Questions sans réponse

Face à ses réponses, beaucoup de sujets, dans le détail, restent flous. Et on peut regretter que certaines questions des parlementaires n’ont pas donné suite. “Le champ de vos questions est très large… Mais je ne suis pas M. Domenech !”, se justifiera Marie-Françoise Marais.

Par exemple certaines questions, pourtant intéressantes, de Lionel Tardy : “Comment l’outil de sécurisation que devra installer l’abonné permettra-t-il de ne pas télécharger les titres d’un artiste si l’outil ne sait pas quelles sont les œuvres protégées ? Cet outil va-t-il servir de socle à un futur filtrage des contenus à la volée ? Envisagez-vous de coupler ce logiciel avec un mécanisme de dépôt légal des œuvres ? Quelle est selon vous la fiabilité ou la force probante d’une adresse IP ? Un abonné utilisant un logiciel bloquant le peer-to-peer sera-t-il considéré comme ayant sécurisé sa connexion ? Que se passera-t-il si deux ordinateurs sont connectés sur une box et que le logiciel n’est installé que sur l’un d’eux ?”

Beaucoup de questions sans réponse donc, mais la création d’un “centre d’appels”. “Les usagers qui recevront un mail pourront ainsi accéder s’ils le souhaitent à des informations précises, qui leur seront données par les agents de la CPD”, a ainsi annoncé Eric Walter. Ouf !

Image CC Flickr Will Lion


]]>
http://owni.fr/2010/06/26/hadopi-%c2%abpeut%c2%bb-ou-peut-%c2%abne-pas%c2%bb/feed/ 4
Cnil : “Le volet pénal d’Hadopi ne peut pas être mis en oeuvre” http://owni.fr/2010/06/22/cnil-le-volet-penal-dhadopi-ne-peut-pas-etre-mis-en-oeuvre/ http://owni.fr/2010/06/22/cnil-le-volet-penal-dhadopi-ne-peut-pas-etre-mis-en-oeuvre/#comments Tue, 22 Jun 2010 16:38:57 +0000 Astrid Girardeau http://owni.fr/?p=19805 Dans un chat sur 20minutes, Yann Padova, le secrétaire général de la Commission nationale de l’informatique et des libertés (Cnil), a rappelé les différentes avis déjà donnés par la Commission sur la loi Création et Internet. Tout en précisant que certains textes devaient encore être examinés, notamment le décret “de mise en application du pouvoir de sanction”. Nous avons contacté la Cnil pour faire un point.

“Le principe de l’Hadopi se divise en deux étapes : l’envoi des messages à vocation pédagogique et les sanctions, dont la coupure de l’accès Internet qui a beaucoup fait parlé lors des débats” nous rappelle la Commission. “La Cnil a autorisé l’émission des messages, et, lors de sa séance plénière du 10 juin, la transmission des adresses IP à l’Hadopi (autorisation donnée à quatre sociétés de perception des droits d’auteur pour la collecte d’IP sur les réseaux peer-to-peer, et leur transmission à l’Hadopi ndlr).”

“Aujourd’hui seulement une partie de la loi peut donc être mise en œuvre”

Concernant les sanctions prévues par la loi, la Cnil nous indique qu’elles “se trouvent dans le volet pénal, qui doit faire l’objet d’un décret. Ce décret n’est pas encore paru, donc il n’a pas encore été été soumis à la Cnil”. Elle poursuit : “aujourd’hui seulement une partie de la loi peut donc être mise en œuvre”. Et donc, qu’à ce jour,“le volet pénal ne peut pas être mis en œuvre”.

Il faut notamment que soient précisées, par décret, les “règles applicables à la procédure et à l’instruction des dossiers” devant le collège et la commission de protection des droits de la Haute Autorité. Ainsi que les éléments constitutifs de la “négligence caractérisée” prévue à l’article 8 de la loi Hadopi 2. Début mai, l’Hadopi indiquait à nos confrères de PC Inpact que : “L’infraction de négligence caractérisée n’est pas encore définie. C’est le décret en Conseil d’État qui va définir l’infraction de négligence caractérisée.” Quelques jours plus tard le ministère de la Culture assurait de son côté que ce décret “est en cours d’examen au Conseil d’État“. Tout en précisant que la négligence caractérisée “consistera à ne pas, sans motif légitime (notamment financier ou technique), sécuriser son accès Internet en dépit d’une recommandation valant mise en demeure adressée en ce sens” par la Haute Autorité.

Sans ces décrets, l’Hadopi peut-elle procéder à l’envoi des mails et des lettres recommandées d’avertissement ? “Oui, nous répond la Cnil. Et ça n’est pas une aberration”.

Le logiciel de sécurisation ? “Ça c’est un autre problème”

L’une des autres mesures prévues par la loi, et n’ayant toujours pas fait l’objet d’un décret, concerne la procédure d’évaluation et de labellisation des moyens de sécurisation destinés à “prévenir l’utilisation illicite de l’accès à un service de communication au public en ligne”. Interrogée sur ce point, la Cnil nous répond : “Ça c’est un autre problème”. La Cnil demandera-t-elle a être consultée à ce sujet ? “Cela dépendra comment est conçu le logiciel. Par exemple s’il y a un traitement de données à caractère personnel”, nous indique t-on. C’est une possibilité, mais aujourd’hui, c’est prématuré.”

Et la Commission de souligner que “l’avis de la Cnil est consultatif, le gouvernement peut passer outre”. De même sur 20minutes, Yann Padova rappelle que “lorsque la Cnil a été saisie de l’avant-projet de loi, elle avait fait part d’un certain nombre d’observations et de réserves”. Remis le 29 avril 2008, cet avis, très critique, concluait ainsi : “Le projet de loi ne comporte pas en l’état les garanties nécessaires pour assurer un juste équilibre entre le respect de la vie privée et le respect des droits d’auteur ». Son rôle ne peut pas aller au delà car le gouvernement et le Parlement sont souverains.”

“Les autres utilisations d’Internet (web, envoi de mails, réseaux sociaux, etc.) ne sont pas concernées”

Par ailleurs, le gouvernement a souvent annoncé que l’Hadopi ne se contenterait pas de lutter contre le téléchargement d’œuvres protégées via peer-to-peer, mais qu’il envisageait de s’attaquer à d’autres pratiques tel le “streaming illégal”. De son côté, toujours chat sur 20minutes, Yann Padova a indiqué que le mécanisme de l’Hadopi “s’appuie sur une collecte de données techniques échangées sur les réseaux peer-to-peer. Les autres utilisations d’Internet (web, envoi de mails, réseaux sociaux, etc.) ne sont pas concernées”.

Photo CC Flickr Cyril Krylatov

]]>
http://owni.fr/2010/06/22/cnil-le-volet-penal-dhadopi-ne-peut-pas-etre-mis-en-oeuvre/feed/ 5