Les relations entre le projet de loi création et Internet et la vie privée restent toujours épineuses. Les détails donnés par la Commission des Affaires Culturelles ce week-end jettent de l’huile sur le feu en esquissant un monstre en termes de manipulation des données personnelles. Analyse.

Comme nous l’avons maintes fois dit, la loi Création et Internet ne frappe pas le pirate, puisque le droit de la contrefaçon s’en occupe déjà (300 000 euros et 3 ans de prison). Non, la loi Création et internet frappe le détenteur d’une ligne qui a servi à faire du téléchargement pirate. Ce qui est reproché à cet abonné c’est de ne pas avoir agi en bon père de famille, pour reprendre l’expression civiliste, et avoir laissé faire n’importe quoi sur la ligne dont il a la garde.

Trois voies pour démontrer sa bonne foi

Reste que si les épaules de l’abonné sont larges, elles ne sont pas infinies. Mis en cause avec un e-mail, puis une éventuelle lettre recommandée, il pourra tenter de se défendre à l’aide de trois issues pour démontrer ce que le sénat nomme « sa bonne foi ».

Les cas classiques sont d’une part la force majeure (un météorite est tombé sur la touche « Download »), ou l’accès frauduleux à sa machine par une personne autre qu’un membre de sa famille (piratage WiFi)

Une troisième voie est plus originale. C’est la mise en place d’un des moyens de sécurisation proposés par la Haute Autorité qu’institue le texte : dans le projet, il y aura en effet des solutions anti-piratage jugées efficaces par l’Hadopi, et qui feront l’objet d’une campagne de promotion par les FAI. En bout de chaîne, l’abonné prendra la responsabilité de les installer ou non.

Installer ou ne pas installer des outils de sécurisation ?

S’il choisit de ne pas les installer, il sera dans l’impossibilité absolue de démontrer qu’il avait pris toutes les bonnes mesures pour sécuriser son accès. Mécaniquement, il subira les foudres de la riposte graduée (suspension jusqu’à un an) si son adresse IP traîne encore et toujours sur les réseaux P2P.

S’il choisit de les installer, un choix qu’on présenterait comme raisonnable, la situation deviendra plus complexe : à la question, « comment M. Dupont prouvera que ce jeudi 19 juin, à 13 h 34 qu’il a bien utilisé cet outil, alors que son adresse IP a été pistée sur les réseaux P2P ? », M. Henrard, conseiller de Christine Albanel et coauteur du texte Hadopi, nous expliquait : « à partir du moment où les internautes vont avoir intérêt à installer ce genre de dispositif où il existera donc une demande solvable, les FAI vont alors développer une offre dans ce domaine. Il faudra prévoir, dès lors qu’il s’agit de fournir aux abonnés un moyen de s’exonérer de leur responsabilité, un dispositif qui permet de certifier à l’Hadopi qu’à tel ou tel moment, ce dispositif était utilisé ».

Les FAI n’ayant aucun intérêt commercial à travailler gratuitement pour les ayants droit ou la politique pénale de la France, il faudra d'ailleurs que quelqu'un paye ces dépenses.

Comment prouver que le moyen de sécurisation est actif ?

Mais la Commission des Affaires Culturelles a donné d’autres détails dans le rapport publié samedi, spécialement sur ces questions de preuve d’un moyen de sécurisation actif.

Selon les informations qui ont été transmises par les ayants droit, « une solution serait de proposer aux titulaires de l'accès des conditions analogues à celles qui sont actuellement acceptées par les utilisateurs de logiciels de sécurité (antivirus, pare-feu, contrôle parental...) : en effet, certaines licences d'utilisation de ces logiciels prévoient un dialogue à distance automatique et régulier entre le logiciel et le serveur de l'éditeur, pour vérifier l'état des mises à jour. Cela comprend l'envoi, par l'ordinateur de l'utilisateur, de données précisant son identifiant et son état de fonctionnement ».

Le logiciel de sécurisation poussé par l’Hadopi pourra entretenir donc « un dialogue » constant avec un centre de traitements unique pour vérifier d’une part qui a installé quoi, et d’autre part la courbe d’activité du logiciel !

« Dans le cas présent, le serveur de l'éditeur du logiciel vérifierait, à chaque connexion, que les dernières mises à jour ont été installées. Les informations recueillies, conservées douze mois, attesteraient de l'activité du logiciel. Le titulaire de l'accès invoquant la cause d'exonération pourrait ainsi, dans l'hypothèse où l'HADOPI lui adresserait une demande de justificatifs, produire le fichier de « logs » qu'il aurait alors demandé à l'éditeur de son logiciel. »

Edvige ou Hadopi, même combat ?

Ainsi se dessine une base de données monstrueuse récupérant les faits et gestes de l’abonné consentant. Cette base aura un double rôle : permettre à l’abonné de se défendre (regardez les logs, j’utilisais bien les solutions Mac Nortonski tel jour) et inversement au chef d’orchestre de cette base, de vérifier qui a installé quoi et quand.

Le rapport de la Commission des Affaires Culturelles plonge même dans le luxe des détails : « les logiciels de sécurisation offrent d'ordinaire la possibilité de désactiver ce système de mise à jour. Il conviendrait à cet égard de prévoir à la charge des fournisseurs de moyens de sécurisation une obligation d'information, par exemple sous la forme d'une étape dans le processus de désactivation où il serait demandé à l'utilisateur de certifier qu'il a bien pris connaissance des risques encourus en cas de désactivation. »

Fichiers et fichages

A cette surveillance généralisée, n’oublions pas les autres aspects de la loi Création et Internet qui suinte la démarche sécuritaire.

Une surveillance globalisée et automatisée du réseau, 10 000 emails envoyés chaque jour aux abonnés dont l’adresse IP aura été repérée sur Internet, 3 000 lettres recommandées et 1 000 décisions quotidiennes.

Ajoutons encore des agents aux pouvoirs surpuissants puisqu’ils auront la possibilité d’obtenir la copie de tous les documents qu’ils souhaitent « quel qu'en soit le support, y compris les données conservées et traitées par les opérateurs de communications électroniques », qu’ils soient FAI ou même hébergeurs (Myspace, YouTube, Dailymotion, etc.).

Ajoutons enfin la constitution d’une liste des abonnés bannis pour ne pas avoir sécurisé leur ligne internet et d’autres éléments dont les précieuses précisions ont été laissées à un simple décret, et nous aurons alors une idée un peu plus exacte du dispositif.

En plus de pousser à une hausse des abonnements ou des charges publiques, le projet Création et Internet dévoile ainsi peu à peu ses aspects les moins ragoutants en termes de manipulation de données. Or, si la lutte contre le piratage est un objectif qui doit être mené d’une manière ou d’une autre, il n’est pas sûr du tout que ce fichage à grande échelle réchauffe les parlementaires.