S'identifier / Créer un compte
  • Actualités
  • Dossiers
  • Tests
  • Commentaires
  • INpactiens
Publicité

Exclusif : le rapport de la CNIL sur Hadopi et la surveillance du P2P

Le P2P à l'index

Nous avons donc pu nous procurer le rapport de la CNIL qui fut rédigé en interne avant les délibérations autorisant la surveillance du P2P en France (celles des ayants droit de la musique, celle de l'audiovisuel). Un document riche qui montre que l'automatisme est roi, et que le traitement manuel n'a pas sa place. De même, selon ce rapport, il faudra se fier aux contrôles internes des ayants droit, faute de tiers de confiance. Une situation  qui montre la sensibilité du risque d'erreur dans le flashage des adresses IP.

hadopi rapport cnil

Dans ce rapport (qui avant transmission dans nos mains a été vérifié et nettoyé par la Cnil des éventuels passages sensibles) la commission dresse un rappel exhaustif du contexte de la surveillance du P2P, notamment sous l’angle historique.

On apprend au fil des pages que le ministère de la Culture et de la Communication avait transmis à la CNIL le 9 octobre 2009 le « projet de décret portant création du traitement automatisé de données à caractère personnel mentionné à l’article L. 331-37 du code de la propriété intellectuelle (CPI) ». Les choses ont été vites puisque cette transmission a eu lieu avant même que le Conseil constitutionnel rende sa décision sur Hadopi 2. Christine Albanel avait d’ailleurs avoué que les décrets seraient rédigés par avance afin d’éviter toute perte de temps inutile…

hadopi ministere culture installation

Excès de précipitation

La CNIL indique d’ailleurs que cette précipitation n’a pas été bienvenue : « Le projet de décret soumis à la CNIL, qui ne concernait pas l’application du volet pénal du dispositif prévu par la loi n° 2009-1311 du 28 octobre 2009 , a fait l’objet d’un premier examen par la Commission lors de sa séance plénière du 10 décembre 2009. Il est alors apparu à la CNIL, dans un premier temps, qu’elle ne pouvait rendre un avis éclairé sans disposer également du projet de décret d’application de la loi n° 2009-1311 (dite loi Hadopi 2) ». Mais la Commission aura fait cependant preuve d’un certain volontarisme : « Toutefois, au vu des éclairages apportés par le Ministère sur la procédure d’élaboration des textes et compte tenu de l’installation imminente de la Hadopi dont les membres ont été nommés par décret du 23 décembre 2009, la Commission a décidé de rendre son avis en date du 14 janvier 2010 ».

Les détails sur la surveillance

Le rapport que nous publions fourni des détails sur la procédure de surveillance : « Les SPRD définissent une liste […] de référence sur lesquels les constats porteront. Le prestataire TMG calcule pour chaque titre une empreinte musicale unique, qui permettra d’identifier les fichiers illicites partagés identiques aux titres originaux. Chaque jour, TMG collecte auprès des utilisateurs les fichiers illicites identifiés et enregistre l’adresse IP de l’utilisateur qui a mis à disposition le fichier pour constituer un « incident ». […] La base des incidents est transmise aux agents assermentés des SPRD, qui valident les constatations et signent les saisines. Seules les saisines signées par les agents assermentés sont alors transmises par TMG à la Hadopi. Pour les requêtes judiciaires, la transmission des constats est faite par les sociétés de perception et de répartition des droits. »

On notera que l’aiguillage entre procédure Hadopi et procédure judiciaire se font selon un effet de seuil que nous révélions ici.

Des études statistiques fondées uniquement sur le P2P

On note encore que « le prestataire fournit par ailleurs des informations statistiques sur les sessions de collecte et les fichiers illicites identifiés. Ces informations sont anonymes ». Si le P2P baisse, les ayants droit pourront se gargariser de l’efficacié d’Hadopi….alors que le streaming aura explosé.

Un marquage confié à Civolution

Détail révélé par ce rapport : la solution de calcul d’empreinte utilisée par TMG est celle de Civolution. Une entreprise privée spécialisée dans le watermarking. Civolution France est basée à Cesson Sevigné et enregisrée au RCS de Rennes.

L’entreprise est dirigée par un certain Jean-Michel Masson, qui semble être un ancien directeur de l'activité Protection du Contenu chez Thomson.

Cette société a pour objet le « développement, marketing et vente de solutions de marquage et de traçage des contenus multimédia pour l'industrie audiovisuelle ».Des « Solutions pour marquer individuellement chaque exemplaire d'un contenu vidéo ou audio, depuis leur production jusqu'à leur diffusion, afin de faciliter la gestion des droits associés et assurer la distribution sécurisée des contenus ».

Un marquage qualifié d’invisible, d’indélébile, en temps réel, d’un contenu vidéo ou audio, quel que soit son format. C’est une filiale de Civolution B.V (Pays-Bas), implatée à Eindhoven (Pays-Bas), Londres, New-York, Los Angeles.

hadopi mireille imbert quaretta


150 000 saisines/jour, pas de détection personnelle des anomalies

La CNIL confirme que l’activité de dénonciation des IP va friser les hautes sphères, avec une critique à peine voilée de la Commission sur ce système de mitraillage : « Le système proposé laisse peu de marges d’appréciation aux agents assermentés, qui sont chargés de constater les potentielles infractions et saisir la Hadopi. Vu le nombre élevé de saisines prévues (25 000 par jour dans un premier temps, puis 150 000 par jour), il est impossible que les agents assermentés vérifient les constatations une à une. Pour autant, le système ne prévoit pas de procédure particulière, par exemple par échantillonnage, pour qu’un agent puisse détecter des anomalies dans une session de collecte. Votre rapporteur regrette qu’une telle procédure ne soit pas mise en place ».

La question de l'holomogation des constats vs des audits internes

Autre critique : la solidité des constats. Le rapporteur de la CNIL avait exigé une certification des constats effectués via les relevés de TMG « Votre rapporteur considère qu’il serait préférable que le système de collecte soit « homologué » par un tiers de confiance pour renforcer la sécurité juridique des constats. Cette recommandation de la Commission pourra être précisée aux SPRD par le biais des lettres de notification qui accompagnent les autorisations. Cette information pourra également, le cas échéant, figurer sur la communication de la CNIL sur son site internet ».

Une note de bas de page révèle que « les seules procédures d’audit prévues sur le système de TMG sont des audits internes trimestriels par les SPRD ». Autant dire un système interne où juge est partie, où le contrôlé est également le client du contrôleur.

Tout automatique, jamais de vérification manuelle

Le rapport indique encore que tout sera automatisé, impérativement : « les dossiers de 2005 faisaient apparaître la possibilité pour les agents assermentés de faire des constats manuels en allant eux-mêmes sur les réseaux pair-à-pair, ce qui n’est plus le cas dans les nouvelles demandes ».

C'est donc une justice robotisée qui se dessine sous nos yeux où le jugement humain n'a pas sa place.

cnil hadopi P2P TMG


Pas de pause le week-end

Dans le dispositif de collecte, il est indiqué que toutes les IP, même celles non « validées » par un agent assermenté, seront conservées par les ayants droit durant 3 jours. « Ces sociétés souhaitent conserver jusqu’à trois jours les données collectées en vue d’une saisine de la Hadopi, de manière à éviter que les contrefaçons sur Internet ne se développent les week-ends et les jours fériés », journées de repos même chez les autorités indépendantes…

Une conservation des IP jusqu’à 120 jours par les ayants droit

 « les données destinées aux dossiers sensibles sont conservées pendant 15 jours dans les bases de données de TMG (le prestataire) et jusqu’à 120 jours (après le 1er jour de constitution) dans les bases de données de la société d’auteur. Cette durée de conservation est inchangée par rapport aux dossiers d’autorisations initiales ».

Des seuils pour sanctionner les gros poissons

Qu'est-ce qu’une donnée sensible ? C’est celle qui concerne des utilisateurs « qui effectuent de très nombreux téléchargements illicites et pour lesquels les SPRD souhaitent pouvoir collecter plus d’informations afin de lancer des procédures judiciaires contre ces personnes. Des seuils sont définis dans la demande initiale ». Cela confirme là encore notre information initiale : les gros poissons feront l'objet d'une surveillance sur une période déterminée  : en cas d'échanges  encore massifs, les dossiers prendront la direction  du juge judiciaire ou du juge pénal, pour les plus gourmands.

Des actions de sensibilisation du personnel de TMG

Pour blinder le tout, on avance que les IP seront chiffrées, et « des actions de sensibilisation aux problématiques de sécurité sont menées auprès de TMG et des agents assermentés ».

Droit d’accès et de rectification

Précieuse indication fournie par le rapporteur de la CNIL ; « S’agissant de l’information, votre rapporteur considère que les dispositions prévues à l’article 32-I de la loi du 6 janvier 1978 ne peuvent s’appliquer car l’information exigerait des efforts disproportionnés par rapport à l’intérêt de la démarche, conformément au III du même article ».

cnil hadopi adresse IP

Pas de droit à l’information préalable au traitement, mais le rapporteur « estime toutefois qu’une communication générale sur ce sujet dans les médias serait opportune ». Autre détail d’importance : « En tout état de cause, votre rapporteur considère que les droits d’accès et de rectification, prévus aux articles 39 et 40 de la loi Informatique et Libertés s’appliquent, contrairement à ce que mentionnent les dossiers de formalités, et propose à la Commission de maintenir dans les délibérations le possible exercice de ces droits auprès des SPRD ».

L'accès aux IP aussi bien chez les ayants droit qu'entre les mains de l'HADOPI

Ce droit d’accès et de modification des erreurs de manipulation des IP n’est cependant pas simple : « en pratique cela exigerait que la personne concernée prouve qu’elle est bien propriétaire de l’adresse IP et cela dans un délai extrêmement court (l’information n’étant conservée que pendant quelques heures et au maximum pendant 72h). De plus, en l’état, le logiciel fourni aux SPRD ne leur permet pas techniquement de faire une recherche sur le critère de l’adresse IP afin de répondre à une demande d’accès. Mais votre rapporteur tient à souligner que dans les délibérations initiales, la CNIL avait maintenu l’exercice de ces droits malgré la mention « droits non applicables » dans les dossiers de formalités des SPRD, alors que les mêmes difficultés étaient présentes ».

Une voie médiane pour permettre l’exercice de ces droits liés à la manipulation des données personnelles : « votre rapporteur rappelle que les personnes peuvent également exercer leurs droits auprès de la Hadopi ».

Tous les créateurs de contenus risquent de demander "leur" Hadopi

La conclusion du rapport donne un parfum particulier au dispositif Hadopi : alors que les ayants droit tablent sur 150 000 alertes par jour, le « rapporteur attire votre attention sur le fait que des sociétés de perception des droits dans d’autres secteurs d’activité (édition de logiciels, de jeux, de films…) sont susceptibles de solliciter une autorisation de la CNIL pour les mêmes traitements ». Et donc de dessiner un internet où surveillance, dénonciation et avertissement seront les trois dispositifs clefs.

(Photos PC INpact)
Marc Rees

Journaliste, rédacteur en chef

Publiée le 20/09/2010 à 11:08

Soutenez l'indépendance de Next INpact en devenant Premium

  • Tout le contenu de Next INpact sans pub
  • Et bien plus encore...

Il y a 31 commentaires

Avatar de yeti62 INpactien
yeti62 Le lundi 20 septembre 2010 à 11:10:11
Inscrit le mercredi 15 juillet 09 - 7438 commentaires
Nous procédons actuellement à son analyse, l'actualité sera mise à jour.


ça promet du Grand Marc, pour ce midi !


Cela dit, étant au boulot et n'ayant pas trop le courage de me pencher dans la lecture/analyse d'une usine à gaz, je te remercie en avance pour tout ce travail que tu vas faire, Marc.
Avatar de ano_635301045460992542 INpactien
ano_635301045460992542 Le lundi 20 septembre 2010 à 11:13:10
Inscrit le mardi 13 octobre 09 - 4184 commentaires
Le système intègre désormais une liste blanche permettant d’éviter l’envoi à la Hadopi de saisines concernant des adresses IP autorisées par les titulaires de droits.

Reste à voir à quoi cette liste blanche s'étendra

Edité par GoldenTribal le lundi 20 septembre 2010 à 11:14
Avatar de Amour INpactien
Amour Le lundi 20 septembre 2010 à 11:13:48
Inscrit le mardi 24 octobre 06 - 1495 commentaires
Reste à voir à quoi cette liste blanche s'étend


Oui quelques amis en liste blanche et bonjour au P2P
Avatar de karmounet INpactien
karmounet Le lundi 20 septembre 2010 à 11:18:18
Inscrit le vendredi 13 mai 05 - 453 commentaires
Sérieux, vous allez finir par avoir des problèmes

Je suppose qu'ils demanderont à ce que la liste blanche reste confidentielle, mais j'espère de toute coeur qu'elle sera diffusée, avec moult détails sur les personnes qui se cachent derrière.

Puisque grâce à eux (enfin, dans leur tête), une IP ne constitue plus une donnée privée, un bon retour de batte de baseball ne leur fera pas de mal.
Avatar de Angry Machine INpactien
Angry Machine Le lundi 20 septembre 2010 à 11:20:16
Inscrit le mardi 16 juin 09 - 469 commentaires
Bon courage, ce genre de rapport avec une tonne de termes juridique je suis bien incapable d'y comprendre quoique se soit.

Bravo PCI

Il y a 31 commentaires

;