Exclusif : l'Hadopi ne collectera pas de preuve matérielle... pour l'instant

La semaine dernière, Numerama a révélé en exclusivité le contenu des clauses administrative particulières (CCAP) et des clauses techniques particulières (CCTP) qui fixent le premier cahier des charges de l'Hadopi pour la passation du marché public. 

On apprenait alors que dans le schéma des processus généraux sous-tendant l'activité de l'HADOPI, une phase de "notarisation et d'échantillonnage" s'intercalait entre la phase de collecte de masse des adresses IP, réalisée en amont par les ayants droit, et la phase d'avertissement et de sanction, réalisée en aval par l'Hadopi (cliquez pour agrandir l'image) :

Comme nous l'avions expliqué, l'échantillonnage consiste à ne retenir que certaines des plaintes transmises à l'Hadopi, pour ne traiter que celles qui intéressent le plus l'administration. Nous avions ainsi découvert que l'Hadopi ne sanctionnera pas au hasard les abonnés à Internet, mais qu'un système d'algorithmes permettra de cibler en priorité les récidivistes potentiels, y compris peut-être d'après leur provenance géographique.

La phase de notarisation est tout aussi importante, voire plus encore. Selon le CCTP, elle "consiste à qualifier les données et enregistrer les éléments essentiels de la transaction chez un tiers de confiance", c'est-à-dire à enregistrer tous les éléments probants du téléchargement, ou plutôt de la mise à disposition d'un fichier protégé par le droit d'auteur. "Le contenu, l’origine, la date de réception, la clé d’identification de l’expéditeur et la destination du fichier constituent ces éléments essentiels", précisait le document. En cas de recours de l'abonné, ces éléments dupliqués sur des serveurs sécurisés devront constituer des preuves suffisantes, au risque d'annuler la procédure.

Mais elles ne seront pas suffisantes, et le ministère s'attend à être sanctionné sur ce point. Soit par le Conseil constitutionnel par une réserve d'interprétation, soit par la CNIL si elle renforce ses exigences lors de la révision des conditions de collecte des adresses IP d'internautes suspectés de téléchargement illégal.

En effet, Numerama a pu prendre connaissance d'une information complémentaire transmise par le ministère de la Culture à un candidat au marché public, qui s'interrogeait sur ce qu'il faut inclure dans le "contenu" à notariser. S'agit-il uniquement des éléments permettant d'identifier le contenu, ou du fichier illégal lui-même ?

"En principe", répond le ministère, "il s'agit seulement des éléments permettant d'identifier le contenu. Cependant, s'il s'avère que les nécessités de la procédure de recours rendaient obligatoire avec l'envoi de la saisine le transfert de "chunk" des fichiers téléchargés, il en serait fait mention dans le cahier des charges de réalisation du système cible".

Ce qui peut paraître un détail n'en est pas un. Selon toutes vraisemblances, les sociétés de collecte d'adresses IP employées par les ayants droit n'ont pas l'obligation d'initier le téléchargement d'un fichier illégal sur l'adresse IP repérée. Or l'on a vu par le passé qu'il est très facile d'injecter des adresses IP innocentes dans les réseaux P2P, et que le fait d'initier un téléchargement est le seul moyen de s'assurer de ne pas accuser à tort un abonné.

L'Hadopi ne laissant aucune place à la présomption d'innocence, il lui faut être sûre de la fiabilité des relevés d'adresses IP sur laquelle elle va baser ses avertissements et ses sanctions. D'où l'idée du ministère de prévoir, peut-être, si "les nécessités de la procédure de recours" l'exigent, l'obligation de joindre une partie du fichier mis à disposition par l'internaute (un "chunk") avec chaque saisine. En "notarisant" ce morceau de fichier, l'Hadopi garderait une preuve matérielle de l'infraction.

Au delà du problème juridique qu'une telle exigence risque de poser, le fait de télécharger et d'archiver systématiquement un "chunk" du fichier contrefait pose un problème pratique et économique certain. Selon les premières estimations de l'Hadopi, sans chunk, "le poids d'une saisine n'excède pas les 200 Ko". La collecte, également, reste peu coûteuse. Mais avec un chunk, la saisine va devenir obèse. Sur eDonkey/eMule, un chunk pèse en effet 9,5 Mo. C'est un coût de stockage considérable, avec l'objectif d'au moins 10.000 saisines traitées par jour. Mais c'est surtout un surcoût de collecte que ne pourront pas se permettre d'avoir les ayants droit, qui payent la facture de la délation des pirates.

L'impact d'une telle exigence sur le coût de la recherche des pirates serait donc "colossal", avait confié à Numerama l'expert Frédéric Aidouni, lui-même auteur d'un logiciel de collecte des adresse IP pour la gendarmerie. "Tout dépend du mode opératoire utilisé par les enquêteurs, mais de toutes les façons il convient de télécharger des contenus pour valider le constat d'infraction", prévenait-il. A défaut, il estime que les preuves ne sont pas suffisantes.

Par ailleurs, même les "éléments permettant d'identifier le contenu" dont se contente pour le moment le ministère semblent insuffisants.

Le CCTP précisait en effet que sur demande, les abonnés avertis ou sanctionnés par l'Hadopi pourront obtenir le nom des oeuvres téléchargées, leur nature (film, musique,..), la date du téléchargement, la taille des oeuvres, et les coordonnées de l'organisme d'ayants droit ayant saisi l'Hadopi. Mais il ne semble pas prévu de communiquer la signature numérique (le hash) du ou des fichiers contrefaits, qui est le seul élément technique permettant de s'assurer qu'un fichier contient bien le contenu suspecté. Il serait balo qu'un abonné soit sanctionné alors qu'il n'a téléchargé, par exemple, que la bande annonce d'un film.