The Internets

Le site de l’Assemblée nationale a publié l’audition d’Alex Türk, président de la Commission nationale de l’informatique et des libertés (CNIL) devant la Commission des affaires économiques de l’Assemblée nationale mardi dernier. Le député Dionis du Séjour (Nouveau Centre) l’a interrogé sur Hadopi. Si Alex Türk a voté pour la loi Création et Internet, la CNIL a émis des avis critiques à de nombreuses reprises (en avril 2008, en novembre 2008, en mai 2009) et retardé la publication des décrets en décembre 2009.

Jean Dionis du Séjour : Comment jugez-vous les débuts de l’HADOPI ? Que dites-vous du délit de non-sécurisation de son PC ?

Alex Türk : Monsieur Dionis du Séjour, la position de la CNIL est de s’écarter au maximum d’HADOPI, les objectifs étant totalement différents.

Sur HADOPI, d’ailleurs, les membres de la CNIL ont été très partagés. Certains, à commencer par votre serviteur, ont été préoccupés mais ont voté pour ; et j’avoue rester impressionné par ceux qui sont capables de se prononcer dans un sens ou dans l’autre sans émettre la moindre réserve : entre la protection du droit des auteurs et la préservation des libertés de l’internaute, j’ai beaucoup de mal à trancher.

L’HADOPI doit faire ses preuves – et chacun jugera.

Aura-t-elle tous les moyens technologiques d’intervenir ? La réponse est, à terme, non. Il faudra donc que le Parlement réagisse. Sur l’ensemble de ces technologies, il va devoir travailler quasiment en temps réel, tellement les choses bougent rapidement.

A lire sur : Compte rendu n° 82 (Assemblée nationale)

A lire sur : Dîner débat avec Michel Riguidel (Forum Atena)
Éléments de contexte : Interview de Michel Riguidel (ARCEP) et Le brevet des acteurs d’HADOPI qui marie sécurisation et DPI (PC Inpact)

A lire sur : Interview : la SCPP veut bien marier Hadopi avec filtrage par DPI (PC Inpact)

Le Conseil d’État a rendu ce matin son ordonnance sur la demande, présentée par le fournisseur d’accès Internet associatif FDN (French Data Network), de suspension sur le décret 2010-872 du 26 juillet 2010 relatif à la procédure devant la Commission de Protection des droits de l’Hadopi. Et décidé de rejeter la requête de l’association. L’ordonnance émise par le Conseil d’Etat dit « pour résumer, que les moyens invoqués par FDN (danger financier pour l’association, absence de procédure contradictoire, …) ne sont pas de nature à faire naître un doute immédiat et sérieux sur la légalité du décret attaqué » résume Turb(l)o(g).Il précise que la procédure doit maintenant se poursuivre par un jugement de fond.

(maj) « Sur le recours sur le fond, il va falloir qu’on compile tous nos arguments dans un mémoire au Conseil d’État. Ensuite, il y aura à peu près deux ou trois mois pour que les différents ministères répondent. Ce sera probablement plié d’ici 6 ou 8 mois» explique Benjamin Bayart, président de FDN. Sur le blog du FAI, il a publié hier soir un billet racontant le déroulé et les coulisses de l’audience.

A lire sur : Le Conseil d’État rejette la demande de suspension de FDN contre Hadopi (PC Inpact)
Et : FDN & HADOPI, il faudra aller au fond (Turb(l)o(g))
Et aussi : Comment se passe une audience de référé au Conseil d’État (FDN)

A lire sur : Sarkozy s’attaque aux lois « obsolètes, dépassées et contre-productives » : quid d’Hadopi ? (PC Inpact)

A lire sur : Communiqué de presse « Taux de TVA modifié sur le triple play : les auteurs, compositeurs et éditeurs de musique inquiets et vigilants » (Sacem)

En mai dernier, l’ARCEP (Autorité de Régulation des Communications Electroniques et des Postes) a lancé une consultation publique, accompagné d’un document (pdf) comprenant les « premières orientations », sur la question de la neutralité du net et des réseaux. Via ZD Net, on apprend que la « synthèse » issue de cette consultation sera publié d’ici la fin du mois de septembre.

Le site cite Nicolas Curien, l’un des membres de l’ARCEP : « la hiérarchisation des flux ou la notion d’accès premium n’est pas haïssable en soi mais elle ne doit pas se faire au détriment de ceux qui n’auraient pas d’accès premium. Par ailleurs, il s’agit de distinguer le fixe du mobile. La neutralité doit être la même selon les technologies mais la réalité est différente, les contraintes sont différentes, d’où la notion de gestion de trafic et de quasi-neutralité pour le mobile ».

Cela pose la question de la définition — et donc des limites et des régulations — de la neutralité d’Internet d’une part, et des autres réseaux de l’autre. Pour Benjamin Bayart, président du fournisseur d’accès Internet FDN, le document fourni par l’ARCEP donne une « explication claire de ce que sont les services gérés », en expliquant qu’il s’agit de canaux parallèles de celui qui supporte l’accès à Internet, qui peuvent permettre à l’opérateur d’offrir des garanties supérieures («premium») en termes de bande passante garantie, de perte de paquets, de temps de latence, etc.

L’Autorité souligne qu’historiquement entrent dans cette catégorie la VoIP, la télévision ou la VoD, mais qu’à terme, cette gamme « pourrait s’étendre à de nombreuses autres prestations nécessitant ou demandant une qualité de service privilégiée » tels les services audiovisuels en haute définition ou les jeux vidéo en ligne.  Si elle estime qu’il n’apparaît pas pertinent « ni de figer une liste des services gérés potentiels, ni de limiter les paramètres de qualité de service » sur lesquels les opérateurs peuvent jouer, l’ARCEP rappelle à plusieurs moment que cela ne doit pas être « aux dépens » de l’accès à Internet, et ne doit pas conduire « à la dégradation des autres trafics » et de la qualité de service de l’accès à l’internet des autres utilisateurs.

A propos de la notion « quasi-neutralité », on pourra relire un intéressant échange entre Benjamin Bayart et Nicolas Curien. Si ce dernier finit par dire que l’expression est « malheureuse », il estime qu’elle correspond mieux à la réalité et aux contraintes techniques, pratiques et légales : la gestion du trafic, la sécurité du réseau, mais également l’illicité de certains contenus.  « Je sais bien que le réseau ne sera pas infiniment neutre, parce qu’il faut bien traiter les pannes, (…) les engorgements, répond Benjamin Bayart. Il n’empêche que la légalité du contenu ne doit pas être traitée sur le réseau, parce que c’est trop dangereux. Parce que ça mène à des solutions de police automatisées, parce que ça mène immanquablement à des abus de pouvoir. Parce que c’est la porte ouverte au renversement de la charge de la preuve. Enfin parce que ça remet en question la liberté d’expression« .

A ce stade, l’ARCEP ne retient pas le principe de « neutralité seulement pour les contenus licites ». Elle rappelle que, si le FAI doit mettre en oeuvre les mesures prévues par la loi, il n’a pas, comme le prévoit la LCEN (article 6.7), « de sa propre initiative, à assurer le contrôle de la légalité des usages de l’internet ». Elle juge que la mise en place de dispositifs de « contrôles des contenus » – tels ceux prévus par la loi sur les jeux en ligne, la Loppsi et l’Hadopi — implique d’être « particulièrement attentifs, d’une part, au respect d’autres droits fondamentaux comme la protection de la vie privée ou la liberté d’expression et, d’autre part, au caractère très limité de la responsabilité des FAI ».  Car, selon l’Autorité, il n’est pas aisé « d’être assuré que certains systèmes de surveillance autorisés pour un besoin précis ne soient pas utilisés indûment à d’autres fins. En particulier, les techniques de «DPI» [Deep Packet Inspection ndlr] présentent des risques importants si elles sont utilisées sans les garde-fous adéquats« . Si elle se fait un peu plus réservée que le rapport dit NKM quand à un éventuel usage du DPI à des fins de surveillance des réseaux, elle ne l’évacue pas totalement non plus. Et elle envisage que seule une autorité administrative puisse décider de la licité d’un contenu, comme c’est le cas dans la Loppsi adoptée par le Sénat mercredi dernier, .

En plus de la synthèse, toutes les réponses (une cinquantaine) à la consultation devraient également être rendues publiques. Le document précise en effet que : « l’Autorité, dans un souci de transparence, publiera l’intégralité des commentaires qui lui auront été transmis ».

A lire sur : Hadopi, la négligence caractérisée et la contrefaçon (PC Inpact)

A lire sur : HADOPI : les recours des internautes (e-litiges)
Et sur : Des modèles de lettres gratuits pour se défendre contre Hadopi (PC Inpact)

A lire sur : FDN & HADOPI au conseil d’état (Turb(l)o(g))

A lire sur : I can haz beautifool spam (Ma petite parcelle d’Internet)
Et aussi : Hadopi : coupable, mais pas responsable (CNIS Mag)

Via communiqué de presse (pdf), l’Hadopi vient de faire savoir qu’elle prolonge la « consultation publique relative aux spécifications fonctionnelles des moyens de sécurisation » lancée le 26 juillet dernier. Cette consultation, qui porte sur le document-projet rédigé par Michel Riguidel (pdf), devait prendre fin le 10 septembre prochain. Elle sera étendue jusqu’au 30 octobre. Pourquoi ? Car « la question de la protection et de la sécurisation des accès à internet est cruciale à l’heure où le numérique revêt une dimension toujours plus importante et soulève de plus en plus d’intérêt » se contente d’expliquer la haute autorité.

Par ailleurs, elle indique que « dans l’objectif d’appréhender au mieux la question soulevée et de prendre en compte les intérêts de tous, l’Hadopi sera attentive aux contributions qui pourraient lui être adressées par toutes les personnes intéressées au sujet ». Et donc pas seulement par les catégories visées à l’article L331-26 du Code de la propriété intellectuelle, Des contributions qui, précise l’Hadopi, « devront être constructives, argumentées et leurs auteurs identifiés ».

A lire sur : Gouvernement 3.0 (Zythom)

Alors qu’une circulaire de la Chancellerie relative à Hadopi demande aux parquets d’éviter «qu’une seconde enquête soit diligentée», expliquant que « les procès-verbaux dressés » par la haute autorité « font foi jusqu’à preuve contraire », la Quadrature du Net revient sur la validité des preuves qui seront fournies aux parquets par l’autorité indépendante, et sur la présomption d’innocence.

Selon elle, l’article R331-37 CPI (instauré par le décret du 26 juillet 2010 relatif à la procédure devant la Commission de Protection des Droits) « ne peut être compris que comme obligeant les FAI à fournir à l’Hadopi les coordonnées d’un abonné qu’une fois qu’il aura été établi qu’une contrefaçon avait eu lieu et l’implication de l’accès Internet d’une personne particulière ». Or, selon, la Quadrature, la haute autorité « n’est pas à même de juger de la matérialité « de ces deux faits, « seul un juge peut établir ces faits ».

Se référant à l’analyse de maître Eolas sur le décret définissant la contravention de négligence caractérisée, « dont la rédaction a fait du défaut de sécurisation un élément constitutif de l’infraction et non une exception », la Quadrature explique qu‘ »il devient maintenant indiscutable qu’il appartiendra à l’accusation de prouver l’infraction d’absence de sécurisation de l’accès Internet (..). En d’autres termes, ce sera au parquet d’apporter des preuves que l’internaute pris dans les filets de Trident Media Guard n’avait pas mis en œuvre un quelconque moyen de sécurisation. »

Par ailleurs, selon le décret relatif à la procédure suivie par la CPD, les FAI «sont tenus de communiquer les données à caractère personnel et les informations mentionnées au 2° de l’annexe du décret n° 2010-236 du 5 mars 2010 dans un délai de huit jours suivant la transmission par la commission de protection des droits des données techniques nécessaires à l’identification de l’abonné dont l’accès à des services de communication au public en ligne a été utilisé à des fins de reproduction, de représentation, de mise à disposition ou de communication au public d’œuvres ou d’objets protégés sans l’autorisation des titulaires des droits[…] »

Or, note la Quadrature, si cette rédaction se conforme à l’article L331-21 CPI, « on notera que partout ailleurs, dans les lois Hadopi 1 et Hadopi 2, dans les décrets d’application ou dans les autres alinéas de ce même décret du 26 juillet 2010, lorsqu’une éventuelle infraction est mentionnée, elle est toujours bien qualifiée de «susceptible»« . Avec la contravention de négligence caractérisée, la loi Création et Internet punit non l’acte de contrefaçon mais la non-sécurisation de l’accès Internet. Mais « dans tous les cas, la contrefaçon doit être prouvée et établie », explique la Quadrature car l’absence de sécurisation « découle en effet de la constatation qu’une contrefaçon a été commise via cet accès Internet ». Or, explique la Quadrature, « l’Hadopi n’est pas le pouvoir de juger de la matérialité d’une contrefaçon (…) seul un juge peut établir ces faits« .

Après avoir rappelé que dans sa décision du 10 juin 2010, le Conseil Constitutionnel dit que la CPD « ne peut prononcer les sanctions prévues par la loi déférée ; que seul un rôle préalable à une procédure judiciaire lui est confié », la Quadrature conclue que le simple fait pour l’Hadopi d’envoyer un avertissement à l’abonné d’un accès Internet « fait grief et est partie intégrante à la procédure judiciaire. Ce qui serait contraire à la décision du Conseil constitutionnel, si une décision de justice n’a pas autorisé préalablement cet envoi d’avertissement ».

Le site PC Inpact s’est entretenu avec Peerates, « l’un des spécialistes des serveurs eDonkey » à propos des relevés effectués par la société TMG (Trident Media Guard) sur les réseaux p2p en amont de la procédure Hadopi. Ce dernier remet en cause la fiabilité des relevés sur lesquels sera basée la « suspicion d’infraction sur les contrefaçons (…) qui est à l’origine de l’infraction de non-sécurisation ».

« Personne ne sait vraiment comment ce relevé est techniquement réalisé » explique Peerates. Résultat, selon lui, «le parquet sera dans l’incapacité de démontrer la fiabilité du relevé, quand bien même il serait effectué par un agent assermenté.» Parallèlement, dans une circulaire publiée le 31 août, la Chancellerie demande aux parquets d’éviter « qu’une seconde enquête soit diligentée » lorsque « les éléments fournis par la HADOPI sont suffisants pour caractériser la contravention de négligence caractérisée ».

A lire sur : Hadopi : la pêche aux IP, le péché des relevés (PC Inpact)

Dans un communiqué de presse (pdf) reçu aujourd’hui samedi 4 septembre, l’Hadopi « dénonce les fausses affirmations répandues » par Sos-hadopi, un service commercial d’“assistance juridique et technique personnalisée” lancé par Renaud Veeckman, Jérôme Bourreau-Guggenheim et Christophe Berhault.

Dans la présentation du service, dans le cadre de son lancement à la Cantine (Paris) le 13 septembre prochain, on peut lire que, l’internaute «sera obligé d’installer un logiciel dit de sécurisation, véritable spyware censé consigner l’ensemble de ses activités numériques. Par analogie, dans le monde réel, cela reviendrait à installer une caméra de surveillance dans son appartement afin de surveiller ses moindres faits et gestes ». Et que le service permettra « aux internautes de prouver leur innocence sans avoir recours à l’installation de ce logiciel espion ».

« Ces affirmations sont totalement mensongères » réagit l’Hadopi, qui « dénonce cette pratique et les amalgames effectués par les promoteurs de ce service commercial ».

La haute autorité réfute le caractère obligatoire de l’installation d’un moyen de sécurisation par les internautes pour «prouver leur innocence» ainsi que la présomption de culpabilité de l’internaute : « à aucun moment l’internaute n’est présumé « coupable » dans la procédure de réponse graduée mise en œuvre par l’Hadopi ». Elle estime également que qualifier de «spyware» le moyen de sécurisation, en l’état de projet, est « tendancieux et inexact ».

L’autorité indépendante conclue en se disant « ouverte au dialogue », mais opposée  « à toute tentative de désinformation qui ferait de l’usager l’otage de querelles idéologiques ».

Maj : Sur twitter, Sos-hadopi a réagi : « Oh non, notre initiative est condamnée par la haute Autorité ! Merde, alors ».

Le ministère de la justice a publié au BO n°2010-06 du 31 août 2010, une circulaire (pdf) visant à présenter les lois Hadopi et Hadopi 2 aux procureurs généraux près les cours d’appel, aux procureurs de la République près les Tribunaux de Grande Instance et aux magistrats. Le document, publié par C_logeek, et relayé par Numérama, détaille principalement les dispositions réprimant la négligence caractérisée du titulaire d’un accès à Internet. A propos du décret d’application instituant la contravention de négligence caractérisée qui, selon le ministère  « a défini de façon précise les éléments constitutifs de cette contravention « , on pourra relire l’analyse de maître Eolas. Extraits de la circulaire :

Dans le double objectif d’assurer la rapidité de la réponse pénale et de veiller à ce que le nouveau dispositif ne conduise à un engorgement des services de police et de gendarmerie, il conviendra d’éviter, sauf cas particulier, qu’une seconde enquête soit diligentée par ces services lorsque les éléments fournis par la HADOPI sont suffisants pour caractériser la contravention de négligence caractérisée à l’égard du titulaire de la ligne et pour assurer le caractère contradictoire de la procédure. En outre, en vertu de l’article 409 du code de procédure pénale, les procès-verbaux dressés en application de l’article L.331-21-1 du CPI font foi jusqu’à preuve contraire. (…)

A l’inverse, le délit de contrefaçon devra être recherché et poursuivi en cas de réitération des faits ou de téléchargements habituels et massifs via Internet en violation des dispositions relatives au droit d’auteur ou aux droits voisins. (…)

L’article L.335-7-2 du CPI rappelle que la juridiction saisie doit prendre en compte, pour le prononcé de cette peine, la gravité des faits et la personnalité de leur auteur mais aussi la nécessaire conciliation de la peine avec la liberté d’expression et de communication.

Cette peine complémentaire, particulièrement dissuasive, pourra donc notamment être requise pour les infractions réitérées et pour les primo-délinquants en fonction de la gravité intrinsèque des faits.

En application des dispositions générales de l’article 707-1 du code de procédure pénale, le ministère public est seul chargé de la mise à exécution des décisions pénales. Sans remettre en cause ce principe, la loi a conféré à la HADOPI un rôle essentiel dans la mise en œuvre de la décision de mise à exécution prise par le parquet des décisions rendues en matière d’infractions portant atteinte à la propriété littéraire et artistique commises via Internet. »

A lire sur : Hadopi : les 1ères vraies saisines reçues uniquement le 16 août (Numérama)

Le site PC Inpact s’est procuré une série de documents concernant les discussions sur la lutte contre le téléchargement illégal qui ont lieu depuis 2009 entre des «parties prenantes» et la Direction générale Marché Intérieur et Services de la Commission Européenne. L’une des réunions, qui s’est tenue le 2 juin dernier à Bruxelles (pdf), concerne les mesures techniques «qui pourraient être utilisées pour identifier et empêcher les violations des droits de la propriété intellectuelle en ligne.».

Parmi ces «parties», on trouve différentes DG (Marché Intérieur, Société de l’Information, Consommateur,  Justice), des acteurs des télécoms (ETNO, EuroIspa, Orange, BT, Telefonica, etc.) et de nombreux ayants droit dont l’« IPFI (musique), MPA (cinéma), ISFE et BSA (jeux vidéo et logiciels), FEP et ENPA (livres et journaux), EBU et ACT (diffuseurs) et SROC (Sports) ». Ainsi que la GESAC et AEPO-ARTIS, regroupements de sociétés d’auteurs et d’artistes-interprètes.

Un document présenté le 2 juin par Marc Guez de la SCPP (Société civile des producteurs phonographiques) rapporte que les ayants droit français ont fait réaliser par le laboratoire allemand EANTC deux séries de tests de « technologies de filtrage » sur P2P. Filtrage protocolaire en 2007 et filtrage des contenus avec la technologie de la société Vecidis, basée sur le Deep Packet Inspection (DPI), en 2009.  Avec cette dernière, 99,91% du trafic P2P aurait été détecté et 99,98% des contenus illégaux bloqués « sans incidence sur les performances du réseau» et sans aucun impact sur le contenu légal. « Bref : le Graal du filtrage » commente PC Inpact.

Selon la SCPP, les prochaines étapes sont l’« évaluation » de la technologie Vedicis par l’Hadopi et sa « mise en oeuvre » en France. Des expérimentations, prévues par la loi Création et Internet (article 331-22), basées sur le volontariat de FAI (Fournisseurs d’Accès Internet) et d’abonnés «comme une mesure technique empêchant l’utilisation illicite de leur accès Internet» précise le document. Autrement dit comme moyen d’éviter la contravention pour négligence caractérisée.  « Et voilà comment l’autorité indépendante va persuader l’abonné  « bon père de famille » à autosurveiller ses faits et actes sur Internet, au profit des ayant droit…, conclue PC Inpact. Du moins en théorie. »

Renaud Veeckman — qui avait déposé la marque Hadopi avant le ministère de la culture auprès de l’INPI (Institut National de la Propriété Intellectuelle) — s’est associé à Jérôme Bourreau-Guggenheim et Christophe Berhault pour lancer Sos-hadopi. Un service d’« assistance juridique et technique personnalisée » qu’il décrit comme « une réponse 100% légale aux dérives d’Hadopi ».

« On ne cherche pas à expliquer comment contourner la loi en installant un VPN, etc., mais simplement à aider les gens à prouver leur bonne foi et à éviter qu’ils installent un spyware », nous explique t-il. « Aujourd’hui, la loi punit la négligence caractérisée. Mireille Imbert-Quaretta [la présidente de la Commission de protection des droits (CPD) ndlr] l’a dit : « On ne poursuit pas les pirates ». On ne chasse donc pas les bonnes personnes et on va pousser tout le monde à installer un mouchard sur son ordinateur. » Il précise : « On est regardé de partout dans le monde, il ne faut pas que ça soit une première mondiale ».

Le service proposera des conseils juridiques — « un suivi de A à Z par des avocats spécialisés » — et techniques personnalisés payants. Présenté le 13 septembre prochain à la Cantine (Paris), le service sera mis en ligne sur sos-hadopi.fr le 15 septembre.

La CPD a jusqu’au 27 septembre pour envoyer les mails d’avertissement relatifs aux premières saisines reçues fin juillet. La loi Création et Internet spécifiant en effet que le Commission doit rendre « sa décision dans un délai de deux mois à compter de sa saisine ». Selon PC Inpact, à ce jour aucun FAI (Fournisseur d’Accès Internet) n’a reçu de demande d’identification d’adresse IP.