Dans son rapport rédigé sur l’autorisation des collectes d’adresses IP par les ayants droit sur les réseaux P2P, la CNIL avait dénoncé l’absence de contrôle des procédures suivies par leur prestataire TMG, qui aboutit à une sanction quasi automatique et aveugle par l’Hadopi. Elle a pourtant autorisé la riposte graduée.

C’est à se demander comment, autrement que par pression politique, la Commission Nationale de l’Informatique et des Libertés (CNIL) a pu accepter d’autoriser la collecte des adresses IP nécessaire à la mise en œuvre de l’Hadopi. En effet, PC Inpact a publié ce lundi le rapport établi pour l’examen des demandes d’autorisation de collectes d’adresses IP sur les réseaux P2P par la SCPP, la SPPF, la SDRM, et la SACEM. Il laisse songeur sur l’abandon du rôle de la CNIL, qui se doit d’être le garant du respect des libertés et de l’équilibre des traitements automatisés de données.

Dans son rapport, la CNIL constate en effet elle-même que l’équilibre n’est pas respecté, tant le système est disproportionné par rapport aux contrôles exercés. Il rappelle d’abord que ce sont les agents assermentés des sociétés d’ayants droit qui vont valider les constatations d’infractions, faites par la société nantaise Trident Media Guard (TMG). Ils doivent ensuite signer les saisines envoyées à l’Hadopi, qui elle-même les relaye aux FAI pour qu’ils renvoient le nom des abonnés correspondants en vu de les avertir.

Mais c’est là que le bât blesse :

Le système proposé laisse peu de marges d’appréciation aux agents assermentés, qui sont chargés de constater les potentielles infractions et saisir la Hadopi. Vu le nombre élevé de saisines prévues (25 000 par jour dans un premier temps, puis 150 000 par jour), il est impossible que les agents assermentés vérifient les constatations une à une. Pour autant, le système ne prévoit pas de procédure particulière, par exemple par échantillonnage, pour qu’un agent puisse détecter des anomalies dans une session de collecte. Votre rapporteur regrette qu’une telle procédure ne soit pas mise en place.

Par ailleurs, l’action de la Hadopi se limitera à accepter ou refuser les constats transmis, sans possibilité de les vérifier. Les premières étapes de la  » riposte graduée  » (envoi d’email et de lettre recommandée) reposeront donc uniquement sur la collecte opérée par le système de TMG. Votre rapporteur considère qu’il serait préférable que le système de collecte soit  » homologué  » par un tiers de confiance, pour renforcer la sécurité juridique des constats.

La CNIL a donc constaté que les ayants droit faisaient ce qu’ils voulaient, dans une chambre noire incontrôlée, où la fiabilité des collectes d’adresses IP n’est pas vérifiée. « Les seules procédures d’audit prévues sur le système de TMG sont des audits internes trimestriels par les (sociétés de gestion)« , note la CNIL. Et pourtant, elle a donné son accord.

Selon nos informations, l’Hadopi a elle-même prévu de procéder à des audits de TMG dans les mois à venir. Mais peut-on vraiment dire qu’il s’agirait-là d’un tiers de confiance ?


Abonnez-vous gratuitement à Artificielles, notre newsletter sur l’IA, conçue par des IA, vérifiée par Numerama !