Le label que délivrera l’HADOPI aux éditeurs de logiciels de sécurisation sera moins bien encadré que les certificats délivrés selon la procédure normale suivie par l’Agence nationale de sécurité informatique, en principe compétente. Alors qu’il concernera des logiciels fortement suggérés à des millions d’abonnés à Internet en France…

Comme nous l’indiquions dimanche matin dans une première analyse, le décret qui définit la procédure de labellisation des moyens de sécurisation par l’Hadopi a été publié au Journal Officiel. Les labels pourront être attribués lorsque la Haute Autorité aura publié la liste des fonctionnalités pertinentes que les logiciels de filtrage doivent revêtir, ce qui selon nos informations ne devrait pas être le cas avant encore plusieurs mois. Les éditeurs devront faire établir un rapport d’évaluation par un centre agréé par l’Agence nationale de la sécurité des systèmes d’information (ANSSI), et l’Hadopi délivrera le label en fonction des conclusions.

Il est donc intéressant de comparer le décret n° 2010-1630 du 23 décembre 2010, relatif aux labels de l’Hadopi, avec le décret n°2001-492 du 18 avril 2002, qui vise plus largement « l’évaluation et la certification de la sécurité offerte par les produits et les systèmes des technologies de l’information ». En principe, tous les labels délivrés par l’Etat aux logiciels de sécurité sont attribués par l’ANSSI, selon une procédure définie par le décret de 2002, via des centres agréés. Mais l’Hadopi fait exception puisque c’est elle, et non l’ANSSI, qui délivrera les labels aux logiciels de filtrage qu’elle suggère fortement d’installer lorsqu’elle avertit les internautes soupçonnés d’avoir illégalement mis à disposition des œuvres sur les réseaux P2P.

Or on remarque des différences notables entre les deux procédures, qui ne sont pas indifférentes sur le fond. Ainsi par exemple, sous la procédure standard, il est spécifié que l’ANSSI « veille à la bonne exécution des travaux d’évaluation » et « peut à tout moment demander à assister à ces travaux ou à obtenir des informations sur leur déroulement« . Ca n’est pas le cas avec le label de l’Hadopi, qui n’a aucun pouvoir de contrôle sur la manière dont le rapport est établi – cela alors même que l’éditeur choisit lui-même son centre d’évaluation, ce qui place ce dernier dans une situation de dépendance économique. Le décret de 2002 dit à ce propos que le demandeur du label et l’ANSSI « valident les rapports d’évaluation en liaison avec le centre d’évaluation intervenant« , ce qui n’est pas le cas de l’Hadopi qui se contente de réceptionner le rapport, et d’en étudier les conclusions, sans discussion tripartite.

Beaucoup plus grave. Comme nous le notions hier, le décret sur le label Hadopi dit que le rapport rédigé par le centre d’évaluation « revêt un caractère confidentiel« . Le label sera ainsi incontestable, puisque les arguments techniques qui ont permis de l’accorder ou de le rejeter ne sont pas publics. Or la procédure classique prévue par le décret de 2002 aurait été plus rassurante, si elle avait été imitée par le décret Hadopi. Car si le texte de 2002 dispose lui aussi que le rapport du centre d’évaluation est confidentiel, il prévoit en revanche que « lorsque l’ensemble des rapports prévus a été validé, l’Agence nationale de la sécurité des systèmes d’information élabore un rapport de certification dans un délai d’un mois« , lequel n’est pas couvert par le secret. Ce rapport, contestable devant les tribunaux, « précise les caractéristiques des objectifs de sécurité proposés, conclut soit à la délivrance d’un certificat, soit au refus de la certification« .

Un tel rapport interne n’est pas prévu pour l’Hadopi, alors-même que le décret de 2002 dit qu’il « peut comporter tout avertissement que ses rédacteurs estiment utile de mentionner pour des raisons de sécurité« . Ca n’est comme si l’on parlait d’un logiciel espion imposé à des millions d’abonnés à Internet

Enfin, la procédure normale de l’ANSSI prévoit que la certification remise « atteste que l’exemplaire du produit ou du système soumis à évaluation répond aux caractéristiques de sécurité spécifiées« , et « atteste également que l’évaluation a été conduite conformément aux règles et normes en vigueur, avec la compétence et l’impartialité requises« . Il y a une double attestation, qui engage la responsabilité du Premier ministre lorsqu’il délivre la certification, via l’ANSSI.

Or le décret publié dimanche est beaucoup plus laxiste avec l’Hadopi, qui n’atteste de rien, mais « délivre » simplement le label « lorsqu’elle estime établi, au vu du rapport d’évaluation, que ce moyen est efficace et conforme aux spécifications fonctionnelles qu’elle a rendu publiques« . On fait difficilement plus prudent…


Abonnez-vous à Numerama sur Google News pour ne manquer aucune info !