La négligence caractérisée ou la question du filtrage de l’accès à internet

Le point sur les décrets des lois Hadopi

Quel impact peuvent avoir, pour les personnes morales, les décrets d’application des lois Hadopi, égrenés tout au long de l’année 2010 ? Si on souscrit volontiers à l’idée de filtrer le bon grain de l’ivraie pour se débarrasser des virus, des spams et d’autres embarras et menaces, que penser du filtrage labellisé, objet du décret du 23 décembre 2010 ?

Texte à paraître dans le numéro 1, 2011 de la revue Documentaliste de l’ADBS

UNE CONTRAVENTION POUR NÉGLIGENCE CARACTÉRISÉE

C’est ce que définit le décret du 25 juin 2010. Comme les personnes physiques, c’est pour négligence caractérisée que les personnes morales peuvent être sanctionnées lorsque les téléchargements illégaux réalisés à partir des adresses IP des ordinateurs de leur parc informatique ont été repérés par les agents assermentés des ayants droit [1], et que la Hadopi – plus précisément la Commission de protection des droits (CPD) [2] – a décidé d’envoyer des messages d’avertissement aux titulaires de ces abonnements via leur fournisseur d’accès à internet (FAI).

  • Les sanctions. Si dans l’année qui suit la réception d’une lettre recommandée de la CPD préconisant de sécuriser son accès à internet, des téléchargements illégaux ont à nouveau été constatés et que le dossier est transmis par la CPD à la justice, on encourt, par ordonnance pénale, une amende s’élevant jusqu’à 1500 € (3000 € pour récidive), 7500 € pour une personne morale, assortie éventuellement d’une suspension de l’accès à internet d’un mois maximum. En cas de renvoi devant un tribunal correctionnel, demandé par l’intéressé s’il veut bénéficier d’un débat contradictoire, ou par juge s’il estime que la gravité des faits justifierait une peine de prison, on encourt les peines classiques du délit de contrefaçon : une amende s’élevant jusqu’à 300 000 € et trois ans de prison (1,5 millions € et la dissolution pour une personne morale) et une suspension éventuelle de l’accès à internet d’un an maximum.
  • L’ordonnance pénale : une procédure simplifiée applicable aux contraventions et à certains délits (mais pas aux crimes). Comme pour les infractions au code de la route,  elle permet de sanctionner une personne sans débat contradictoire et sans même l’obliger à comparaître devant les tribunaux.
  • Hadopi : une loi en trois étapes. Hadopi 2 définit le dispositif répressif, dont la version présentée dans la première loi Hadopi avait été censurée par le Conseil constitutionnel. Une éventuelle loi Hadopi 3, censée favoriser l’émergence d’une offre légale, qualifierait la notion de contrefaçon en ligne et permettrait aux victimes d’obtenir une réparation du préjudice.

La contravention de négligence caractérisée sanctionne le fait de ne pas avoir sécurisé son ordinateur ou «d’avoir manqué de diligence» en l’ayant mal sécurisé (par un système défectueux ou en n’ayant pas procédé à temps aux mises à jour, par exemple). Et si le décret du 25 juin 2010 permet au titulaire de l’abonnement d’avancer des «motifs légitimes»[3], ce sera à la CPD de les interpréter pour décider d’engager ou non des poursuites.

DE LA SÉCURISATION

Si, selon le décret du 26 juillet 2010, dès le premier avertissement envoyé par la CPD via son FAI par courrier électronique [4], tous les moyens de sécurisation peuvent lui être présentés pour établir sa bonne foi (pare-feu, antivirus, …), la CPD devrait être plus clémente si on a utilisé l’un des logiciels de sécurisation labellisés. Encore faudra-t-il prouver s’en être servi avec diligence ! Il y aurait donc bien présomption de culpabilité même si, à terme, il appartient au juge de qualifier l’infraction.

Pour décider si l’accès à internet doit être suspendu et en fixer la durée, le juge devra tenir compte «des circonstances et de la gravité de l’infraction, de la personnalité de son auteur, de son activité professionnelle ou sociale, …». Il est donc peu probable qu’il ordonne l’interruption de l’accès à internet d’une personne morale. Restent l’amende et les risques de récidive.

Quant aux logiciels de sécurisation labellisés, ils ne seront sur le marché que lorsque les spécifications fonctionnelles nécessaires seront publiées dans un arrêté. Si ces logiciels doivent être «efficaces» en bloquant tout usage illicite d’œuvres protégées, ce qui selon des spécialistes de la sécurité informatique serait tout bonnement irréalisable, ils ne doivent pas pour autant porter atteinte à la liberté de communication ou d’entreprendre [5].

Sécuriser ? Surveiller ? Censurer ?

La CPD envisageait d’adopter la technique de l’inspection par paquets ou Deep Packet Inspection (DPI), très intrusive, qui examine les paquets de données transmis, analyse les protocoles utilisés pour interdire certains usages qui ne peuvent pas être interdits par des listes noires de sites [6]. Or, le DPI, qualifié de «mouchard filtrant», peut lui-même présenter des failles et devenir un cheval de Troie, et engendrer des «dégâts collatéraux» en bloquant des sites licites, dont on ne sait pas quelles voies de recours seront accordées à leurs administrateurs et à quel coût .

On conçoit que des entreprises, des administrations ou des particuliers, n’aient pas envie d’être épiés de cette manière, même par des agents assermentés, et que l’accès à certains sites leur soit d’emblée dénié, sans même connaître les critères adoptés à cet effet. Par ailleurs, si la loi n’impose pas, pour l’instant, d’adopter une technique pour sécuriser son accès à l’internet, adopter un logiciel sécurisé labellisé implique d’utiliser un système d’exploitation compatible avec celui-ci, ce qui présente aussi des risques de dérives.

En janvier 2011, on apprenait que la CPD entendait distinguer les spécifications fonctionnelles définies pour les entreprises de celles qui seraient proposées aux particuliers et aux très petites entreprises (TPE), qu’elle admettrait que le code source des applications soit en open source et qu’elle redonnerait le contrôle à l’internaute sur la journalisation de ses données, ou logs de connexion. Mais il suffit que la CPD modifie les spécifications fonctionnelles, comme la loi l’y autorise, pour que le logiciel se métamorphose après une simple mise à jour [8].

« Se débrouiller pour qu’il n’y ait pas d’œuvres chargées ou mises en partage illégalement sur votre accès internet »

Pour la CPD, se faire repérer signifie que l’on n’a pas sécurisé son poste ou qu’on l’a mal sécurisé, sans autre alternative, ce qui conduit à s’interroger sur la teneur du décret du 26 juillet 2010, et démontre que la CPD a glissé d’une obligation de moyens à une obligation de résultat.

La technique faillible

Comment définir le défaut de sécurisation lorsque l’on ne dispose pas de logiciels labellisés ? A quoi bon y recourir s’ils ne permettent pas de se dédouaner puisque, pour la CPD, cela signifie forcément que le logiciel labellisé par ses soins a été déverrouillé ? Nous appartiendra-t-il de prouver que celui-ci est inefficace, au risque de nous voir imposer des systèmes de plus en plus intrusifs, quoique inopérants pour lutter contre le piratage des œuvres ?

Par ailleurs, si l’on examine la notion d’accès à internet, on note qu’il s’agit d’une chaîne de dispositifs (ordinateur, modem, serveur distant) et que des « trous de sécurité » sont susceptibles d’exister à chaque étape. Même si les organisations ont les moyens financiers d’adopter des systèmes de sécurisation plus performants, on sait que bon nombre d’entre elles ont été victimes d’intrusions dues à des malveillances ou, bien plus souvent, à des négligences.

Les dérives du filtrage

Non seulement les outils de filtrage ne filtrent pas correctement mais la loi inciterait à les contourner en recourant à des réseaux chiffrés, à Usenet en SSL, à l’usage d’offres VPN ou de proxy d’anonymat payant, à des systèmes de téléchargement direct (Rapidshare, Megaupload, …), etc., autant de techniques faciles à mettre en œuvre et financièrement accessibles alors qu’elles auraient dû rester confidentielles au sein de groupes d’informaticiens experts. Aujourd’hui tout le monde – ou presque –  peut transmettre de façon anonyme et confidentielle des informations qui sont quelque fois à la limite de la légalité . « C’est la course entre le chat et la souris et la souris court très vite … ».

Si la CPD entend aussi couvrir le streaming, autre usage susceptible d’être illicite, en modifiant le décret du 5 mars 2010, se posera la question de distinguer les usages licites, surtout s’ils sont proposés par des sites non labellisés par la Hadopi, de ceux qui sont illicites.

Lutter contre le terrorisme, contre la pédopornographie, contre l’usage illicite d’œuvres protégées, n’y a-t-il pas également un risque de voir se banaliser l’idée de filtrage via des des cas «consensuels» pour glisser progressivement vers la censure ?

Dans les faits, le filtrage va toucher des personnes peu au fait des techniques informatiques, peu intéressées par les usages illicites, mais dont l’accès à internet sera bridé.

Mais peu d’impact sur les usages illicites

D’autres moyens d’échanges d’œuvres, comme cet étonnant émaillage de clés USB dans la ville de Toulouse [7], sont déjà mis en oeuvre, ainsi que des conseils pour contourner les filets de la Hadopi largement diffusés sur les réseaux, avant même que la loi Hadopi ne soit adoptée. N’a-t-on pas noté que la loi Hadopi avait fait progresser les connaissances informatiques du public  [9] ?

La labellisation des offres légales, objet du décret du 10 novembre 2010, susceptibles d’être surréférencées, couplées à des logiciels de sécurisation labellisés, ferait ressembler internet au minitel d’antan, bien bordé et truffé de sites commerciaux. On gage que cela ne fonctionnera pas.

DE LA PÉDAGOGIE

Comme la CPD le souligne elle-même, elle assure avant tout une mission de sensibilisation et de pédagogie et les logiciels de filtrage, outils de dissuasion, ne viseraient qu’à « donner une illusion d’efficacité ».

La CPD a vocation à disparaître

Les bonnes pratiques établies, la CPD cessera d’exister, et si les pratiques illicites persistent, il faudrait passer à « autre chose ». A défaut de licence globale, comme le laisse penser la mission Zelnik dans son rapport, on pourrait bien s’orienter vers une licence légale qui couvrirait les usages des œuvres protégées, sans doute à moindre coût que ceux occasionnés par la mise en place de la Hadopi et des systèmes de surveillance, tout en permettant aux ayants droit d’obtenir une compensation financière .

Des bibliothécaires et des documentalistes paranoïaques ?

Peut-être pas si l’on consulte l’article présentant les difficultés rencontrées pour développer des services innovants face à des accès bridés, une autre dérive irritante [11]. Mais ces professionnels, tout en étant soucieux du respect à accorder aux droits des auteurs, entendent la liberté d’expression via internet et le respect à accorder aux données personnelles et à la confidentialité de certaines informations, comme le soulignent aussi plusieurs déclarations faites par l’IABD.

Michèle Battisti

Merci à Frédéric Piard pour ses remarques judicieuses
sur certains aspects informatique s

Pour les organisations. Informer et sensibiliser le personnel et le public [17]

Quel que soit le système de filtrage utilisé, comme pour tout type de vidéo-surveillance, il faut informer les salariés et le public de l’existence des logiciels de sécurisation et de leurs finalités, et indiquer les règles d’utilisation d’internet au sein de l’organisation.

L’information peut être donnée par des chartes informatiques, souscrites par le personnel et toute autre personne utilisant le réseau : stagiaires, et autres personnes de passage dans l’entreprise, et le public des établissements qui donnent accès à internet.

Il conviendrait d’organiser une alerte au sein de l’établissement pour récupérer le premier avertissement émanant de la CPD, afin d’y répondre comme le permet le décret du 26 juillet 2010. Sur ce point, on peut s’interroger à moins que la CPD n’ait prévu un autre processus pour les entreprises qui, jusqu’à présent, n’ont pas encore été destinataires de ses messages.

Illustr.   DSC_0509 // Fenêtre de couleurs. Cyril Krylatov, CC. 2.0 by-nc-nd. Flickr

Références

Lois et décrets sur le site de la Hadopi http://www.hadopi.fr/actualites/textes-de-reference.html >

Sur le site de l’ADBS

1.       Hadopi et son décret sur la négligence caractérisée, Michèle Battisti, Actualités du droit de l’information, 13 juillet 2010

2.       La responsabilité des personnes morales au regard d’Hadopi, Michèle Battisti, Actualités du droit de l’information, 2 novembre 2009

3.       Loi Création et Internet. Sanctionner par ordonnance pénale ? Michèle Battisti, ADBS, juin 2009

L’IABD a pris position < http://www.iabd.fr>

4.       L’IABD… contre le filtrage de l’Internet, pour la liberté, 1er février 2011

5.       Offrir un accès à l’internet dans une bibliothèque, un service d’archives ou d’information : Les conditions juridiques, 25 mars 2010

6.       Le mois du Blanc sur l’Internet : les bibliothécaires, archivistes et documentalistes disent NON, 8 mars 2010

Autres textes

7.       Des clés USB dans les briques, Pierre VincenotLa Dépêche, 18 février 2011

8.       L’Hadopi avertit (à tort ?) les candidats du Parti Pirate, Guillaume Champeau, Numérama, 15 février 2011

9.       Hadopi : les internautes continuent à trouver des alternatives, José Roda, L’Express, 15 février 2011

10.    Hadopi  la pêche à la ligne est ouverte ! Laurence Tellier-Loniewski, Anne Platon, La Gazette du Palais, 21 et 22 janvier 2011

11.    Le crapaud fou vs Proxynator. Pas facile d’être un bibliothécaire hybride, Lionel Dujol, La bibliothèque apprivoisée, 17 janvier 2010

12.    Hadopi s’entête ou l’automatisme sans limite, Marc Rees, Pc-Inpact, 13 janvier 2011

13.    Hadopi = Big Browser en bibliothèque !, Lionel Maurel, S.I.Lex, 3 janvier 2011

14.    Hadopi : le décret pour labelliser les outils de sécurisation est publié, La Rédaction, ZD-Net, 27 décembre 2010

15.    Hadopi : analyse du décret sur la labellisation des moyens de sécurisation, Guillaume Champeau, Numérama, 28 décembre 2010

16.    Hadopi : nouveau round pour les spécifications fonctionnelles, Marc Rees, PC-Inpact, 10 décembre 2010

17.    L’accès professionnel à l’Internet : la HADOPI is watching you, Technologies Information et Propriétés Intellectuelles, n°9, Hiver 2010-2011 (Cabinet Caprioli et associés)

18.    Avec la loi Hadopi II, il n’y a pas de lien entre la contravention de négligence caractérisée etl’installation d’un moyen de sécurisation, Interview de Mireille Imbert-Quaretta, présidente de la Commission de protection des droits, Légipresse, n° 277, novembre 2010

19.    De l’illusion du filtrage à la censure du Net : l’aff aire ARJEL / Stanjames.com, Jérémie Zimmermann, Légipresse, septembre 2010

20.    Les derniers décrets d’application des lois Hadopi (décrets du 25 juin 2010 et du 26 juillet 2010). Note du Cabinet  Gilles Vercken, 25 août 2010

21.    Projet de spécifications fonctionnelles des moyens de sécurisation, Arrouan, Sec.Fault.Org, 14 août 2010

22.    HADOPI : la négligence caractérisée définie dans un décret d’application, Bluetouff, Bluetouff’s blog, 26 juin 2010

23.    WiFi, présumé coupable, Olivier Laurelli, Bearstech, 21 juin 2010 (fichier pdf)

24.    HADOPI 2 : le gouvernement envisage le recours à l’ordonnance pénale, Maître Eolas, Journal d’un avocat, 18 juin 2009

25.    Hadopi : le débat sur la sécurisation est « un peu hypocrite », Marc Rees, PC-Inpact, 4 juin 2010

26.    Dossier Hadopi, Journal du Hack, 4 mai 2010

27.    Sarkozy veut censurer Internet, Sebix, Mindfree, 14 janvier 2010

28.    Le filtrage par DPI, Astrid Girardeau, The Internets, 10 janvier 2010


Notes

[1] La CPD peut être saisie par les ayants droit autorisés par la CNIL pour effectuer les constats : la SACEM, la SDRM, l’ALPA, la SCPP, la SPPF, le CNC et prochainement le SNE. C’est le décret du 5 mars 2010 qui organise la gestion des données personnelles par la CPD.

[2] L’organisation de la Hadopi est présentée dans la loi du 12 juin 2009 et les détails de son mode de fonctionnement dans le décret du 29 décembre 2009.

[3] S’il y a eu intrusion informatique, on est censé avoir porté plainte, selon la CPD.

[4] En janvier 2011, on notait que la CPD refusait de donner des précisions à ceux qui avaient reçu un avertissement électronique, envoyé automatiquement, arguant étonnamment l’absence de données personnelles. L’envoi par lettre recommandée permettra-t-il de faire des observations à la CPD  ou l’automatisation se poursuivra-t-elle jusqu’à la sanction par ordonnance pénale ?

[5] C’est pour atteinte à la liberté de communication que le Conseil constitutionnel avait censuré certaines dispositions de la loi Hadopi 1.

[6] La liste noire comprend une liste de sites ou d’applications interdits, la liste blanche une liste de sites autorisés et la liste grise, une liste « d’attente »  de sites pour lesquels une action est requise par l’internaute ou un tiers.

3 comments

  1. […] => La négligence caractérisée ou la question du filtrage de l’accès à internet. 04/03/2011. «Le point sur les décrets des lois Hadopi. Quel impact peuvent avoir, pour les personnes morales, les décrets d’application des lois Hadopi, égrenés tout au long de l’année 2010 ? Si on souscrit volontiers à l’idée de filtrer le bon grain de l’ivraie pour se débarrasser des virus, des spams et d’autres embarras et menaces, que penser du filtrage labellisé, objet du décret du 23 décembre 2010 ? (…).» Source : paralipomenes.net/wordpress/archives/4014 […]

  2. […] automobile c’est elle qui est responsable de la connexion internet du poste de military et d”une “négligence caractérisée” dans la sécurisation de cette connexion. Le poste de military n’a pas en lui-même de personnalité morale, mais relève de la […]

  3. […] Paralipomènes » Blog Archive » La négligence caractérisée ou la question du filtrage de l’ac… Si ces logiciels doivent être «efficaces» en bloquant tout usage illicite d’œuvres protégées, ce qui selon des spécialistes de la sécurité informatique serait tout bonnement irréalisable, ils ne doivent pas pour autant porter atteinte à la liberté de communication ou d’entreprendre [5] . […]

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *