TMG / Hadopi : les questions auxquelles il faudra répondre

Guillaume Champeau - publié le Mardi 17 Mai 2011 à 16h53 - posté dans Société 2.0

La fuite de données sur un serveur de TMG, prestataire indirect de l'Hadopi pour la collecte des adresses IP, pose un certain nombre de questions sérieuses auxquelles la CNIL et la Haute Autorité devront répondre.

1. Pourquoi la CNIL a-t-elle donné son autorisation de collecte des adresses IP à TMG contre toute logique ?

La CNIL a accordé aux industries musicales et cinématographiques le droit de faire appel aux services de TMG sur la seule base d'un rapport interne qui était pourtant accablant. "La Hadopi se limitera à accepter ou refuser les constats transmis, sans possibilité de les vérifier", notait le commissaire de la CNIL qui expliquait que même les agents assermentés qui tamponnent les constats ne pourraient pas matériellement "détecter des anomalies dans une session de collecte". Officiellement, les autorisations avaient été délivrées après avoir également entendu les observations du gouvernement. Sauf que celles-ci, comme nous l'avions révélé en octobre dernier, n'ont jamais existé. La CNIL a autorisé la collecte des adresses IP par TMG en sachant qu'elle comportait des risques, sans donner le moindre argument convaincant pour se justifier. Pire, elle nous expliquait alors qu'elle n'avait pas à permettre "à des tiers de comprendre pourquoi nous avons délivré l'autorisation".

2. Pourquoi des adresses IP figurent sur des fichiers datés d'avril 2008 ?

Comme nous le révélions dimanche, les documents trouvés sur le serveur de TMG et dont nous avons eu connaissance s'étalent sur une période allant du 2 avril 2008 au 14 mai 2011. Or la loi de 1978 oblige à la destruction des données personnelles après "la durée nécessaire aux finalités pour lesquelles elles sont collectées et traitées". Plus précise, l'autorisation délivrée par la CNIL impose à TMG de supprimer les données destinées à l'Hadopi 24 heures après leur collecte, et au plus tard trois jours après. Même à considérer que ces données ne sont pas liées à l'Hadopi, comme l'assurent TMG (et la SCPP qui utilise ses services), est-il normal de trouver ces adresses IP dans des fichiers datant de plus de trois ans ?

3. Pourquoi n'y a-t-il jamais eu d'audit externe de TMG ?

Dans son rapport accablant du 10 juin 2010, sur lequel elle s'est pourtant fondée pour donner son feu vert, la CNIL expliquait qu'il serait "préférable que le système de collecte soit «homologué» par un tiers de confiance", pour renforcer la sécurité juridique des constats". Or il a fallu attendre septembre 2010, une fois le contenu du rapport publié, pour que l'Hadopi évoque pour la première fois la possibilité d'un audit. "Nous étudions en ce moment les modalités de tels audits, de sorte qu'ils soient effectués dans la plus grande objectivité et indépendance", nous assurait à l'époque la Haute Autorité, qui parlait de "grande transparence sur ce dispositif". Depuis, l'Hadopi elle-même a visité les locaux de TMG, comme la CNIL, mais aucun audit extérieur n'a jamais été réalisé. Maintes fois annoncé, jamais entrepris. Pourquoi ?

4. Pourquoi les ayants droit n'ont pas procédé aux audits trimestriels prévus ?

Toujours dans le rapport de la CNIL, il était prévu que les ayants droit effectuent des "audits internes trimestriels" sur le système de TMG. Or comme le rapporte aujourd'hui PC Inpact, le patron de la SCPP reconnaît lui-même que ces audits n'ont jamais eu lieu. Il n'y a eu qu'un seul audit avant l'envoi des premiers e-mails, lors de la phase de tests. "Nous avons fait tous les tests chez TMG et il n’y a eu aucune erreur constatée. Par ailleurs était prévue une intervention de vérification de fiabilité des données transmises à la Hadopi avant cet été", se défend Marc Guez, le délégué général du lobby des maisons de disques. Accordons lui que cette question n'a pas beaucoup d'importance, puisqu'il était de toute façon idiot de demander aux bénéficiaires de la riposte graduée d'être eux-mêmes les gendarmes de l'honnêteté des procédures.

5 . Pourquoi la CNIL a-t-elle voulu cacher son avis sur la transmission des dossiers aux tribunaux ?

Au mois de mars dernier, le gouvernement a fait paraître un décret qui prévoit que les données collectées par TMG pourront être transmises aux tribunaux via l'Hadopi, de manière informatisée. Ce texte est extrêmement sensible, puisqu'il participe à une automatisation de la justice. La CNIL, qui a été appelée à donner son avis sur le texte, a toujours refusé de le transmettre au public et aux journalistes, alors qu'elle le fait spontanément pour d'autres textes. Il y a eu de la part de la Commission une volonté manifestement délibérée de ne pas faciliter les recours contre ce décret, ce qui lui vaut ce mardi d'être rattrapée par la CADA, qui donne raison à nos confrères de PCInpact. La CNIL sera obligée de transmettre le document, mais sans subir aucune conséquence pour sa mauvaise foi, faute de sanctions prévues dans les textes.

6. Pourquoi l'Hadopi refuse-t-elle de transmettre les PV de constat d'infractions aux justiciables avertis ?

Certains abonnés avertis par l'Hadopi ont utilisé notre modèle de réponse, pour demander communication du PV d'infraction, en vu éventuellement de le contester devant les tribunaux. Ils ont tous essuyé un échec, l'Hadopi expliquant de manière fort curieuse que "à ce stade de la procédure, nous ne pouvons accéder à votre demande dans la mesure où ce document ne contient pas de données à caractère personnel vous concernant". Ce qui nous amène à cette ultime question à laquelle devront répondre la CNIL et l'Hadopi :

7. Pourquoi la CNIL et l'Hadopi se rendent-ils chez TMG si l'adresse IP n'est pas une donnée personnelle ?

Nous avions déjà eu l'occasion de dire que pour estimer que l'adresse IP n'est pas une donnée personnelle, la présidente de la Commission de protection des droits (CPD) de l'Hadopi, Mireille Imbert-Quaretta, se fondait sur une interprétation fort contestable d'une jurisprudence de la cour de cassation. Nous pointions alors une première contradiction : "si l'adresse IP n'est pas une donnée personnelle, pourquoi les ayants droit ont-ils l'obligation de recueillir l'autorisation de la CNIL avant de collecter ces adresses IP ?". A l'époque, Mireille Imbert-Quaretta s'était retranchée derrière la séparation des pouvoirs entre les deux autorités administratives pour ne pas nous répondre.

Pourtant, nouvelle contradiction. Les seules données sensibles fuitées dans les documents de TMG sont des adresses IP. Or si les adresses IP ne sont pas des données personnelles, pourquoi la CNIL et l'Hadopi se sont-ils empressés de se rendre ensemble mardi matin à Nantes pour contrôler TMG ?

C'est là un piège inattendu tendu par ces fuites. Si la CNIL sanctionne, c'est qu'elle confirme que l'adresse IP est bien une donnée personnelle qui mérite protection. Or si l'adresse IP est une donnée personnelle, l'Hadopi sera dans l'obligation de communiquer les PV aux abonnés, qui pourront les contester devant les tribunaux. Si la CNIL ne sanctionne pas, il faudra qu'elle s'en explique avec de meilleurs arguments que ceux présentés par TMG.

Et vous, voyez-vous d'autres questions ?
Publié par Guillaume Champeau, le 17 Mai 2011 à 16h53
 
 
28
Commentaires à propos de «TMG / Hadopi : les questions auxquelles il faudra répondre»
 

1
2
Magnifique résumé. Guillaume, tu comptes te déplacer devant chez TMG pour leur remettre le quiz en main propre?
Vivement le prochain épisode puis le prochain jusqu'a l'abrogation de cette loi qui aura couté énormément à tout le monde pour rapporter rien à personne.
1) la CNIL c'est des vendus
2) TMG ce sont des incompétents
3) copinage toussa...
4) les ayants droits à part réclamer de l'argent sont des bons à rien.
5) copinage
6) Parce qu'ils savent pas le faire :D
7) ils font un barback entre eux pour fêter les beaux jours :D

CQFD :mdr:
:bravo: Très bonne liste de questions.

Moi j'ajouterais: Quand est-ce que la HADOPI cessera de gaspiller l'argent du contribuable ?

:dehors:
8. Pourquoi ils se foutent de notre gueule?
s'étalent sur une période allant du 2 avril 2008 au 14 mai

petite contribution de ma part : la première entrée date du 31 mars 2008 :

Line 25588: [ ]a60189ccd799bfbc67a6929c076d3c9550f4a1fe_connected_peers.html31-Mar-2008 23:20 61

dans outgoing_003.html...mais le hash fait référence à un fichier qui n'existe pas ou plus...

edit : et pour savoir s'il ne s'agit que d'un serveur test, il faudrait vérifier si les internautes/ips française figurant dans ce listing ont été frappé ou non par un avertissement (ce qui serait un comble vu qu'ils n'avaient pas les autorisations à cette date...).
Et surtout la grande question :
Es ce que TMG garde un fragment du fichier pour prouver qu'il y a bien eut un transfert de donnée ?

A une époque il y avait eut cette problématique avec les spécifications qui n'imposaient pas cela.
Du coup, le risque est que comme aux états unis, les radars de ces sociétés se contentent de récupérer la liste des ips que donne le tracker sans vérifier la véracité de cette liste.
Ce qui pose évidement des problèmes qu'on a pu aborder dans ces colonnes : Seedfuck ou voir meme trackers torrents diffusant volontairement un pourcentage d'ip bidonnées.
La parade est de tenter d'initier une connexion avec chacune des ips et de vérifier si celle ci répond bien, puis de capturer un fragment du fichier en guise de preuve. Mais cela deviens bien sur beaucoup plus couteux en temps et en ressources.

J'ai pas consultés les archives des serveurs de TMG, mais peut etre que celles ci apportent un éclairage sur ce sujet qui a mon sens est le plus gros talon d'achille du systeme Hadopi.
Faisons comme si on était surpris : holalalalaaaaaaaaaaa!!! mais alors, on s'est fait avoir par des gens et organismes qu'on croyait "sérieux".
Non, sans rire, maintenant on sait que même la CNIL est pourrie jusqu'à l'os, si ça se trouve c'est elle qui envoie nos données persos pour les pubs et autres conneries du genre, voire même envoyer le tout à l'HADOPI sans passer par la case TMG
Il y a un piège vicieux bien plus élémentaire:
- si l'adresse IP est une donnée personnelle, nous avons le droit d'y accéder. Nous refuser l'accès à ces informations est illégal, et toute leur procédure l'est aussi.
- si l'adresse IP n'est pas une donnée personnelle... eh bien, il n'ont simplement aucun moyen de nous poursuivre, ni même de nous "avertir" puisqu'ils ne peuvent pas remonter à une personne physique. (C'est la définition même d'une "donnée personnelle".)

Donc, soit ils nous communiquent ces informations, soit ils abandonnent toute la riposte graduée. A eux de choisir.
Et accessoirement, la réponse à toutes les questions de l'article est à mon avis la même, et elle est fort simple: CNIL, HADOPI (et évidemment TMG), ils n'ont jamais eu l'intérêt des "simples citoyens" en tête, et n'ont donc aucun compte à nous rendre. Ils brassent un peu d'air pour donner une illusion de respect des lois, puis on passera à autre chose bon gré mal gré.
moi j'ai bien une 8ième question, aussi bien pour numérama que pour la CNIL :

8) si il s'avère que, effectivement l'ip est considérée comme n'étant pas une donnée personnel, et que donc, TMG est autorisé à reprendre ces activités sans aucun contrôle de la même manière qu'ils l'ont toujours fais, alors, sur la base de quoi sont fait les PV ?
si il n'y a aucune donné personnel, les PV sont donc réalisé sur la base de quoi ? des données arbitraire ?
L'adresse IP est une données indirectement personnelle puisque pour obtenir l'identité du titulaire de la connexion il faut faire un croisement, donc oui si il y a volonté de croiser l'IP et les bases de donnée des abonnées une autorisation CNIL me semble plus que obligatoire.

Je crois que le CC a même confirmé cette obligation CNIL dans sa décision sur HADOPI 1
un peu HS dans la discussion, mais merci à Guillaume, une fois de plus, pour son analyse et son engagement à défendre NOS libertés. --- Evidemment merci à bluetouff et puis aussi à tous ces anonymes, qui font que quand on nous prend pour des co.ns, cela ne prend pas.
et puis aussi a Pcinpact, qui est, avec Numerama, l'autre source ou cela parle vrai. Désolé de citer un concurrent (mais je pense un ami) car vos deux sites sont les seuls à parler des choses qui fachent, bien loin devant les soit disant tenors de l'IT que je ne citerais pas pour pas leur faire de la google pub, mais qui sont à des années lumières d'internet, juste parce qu'ils ne s'occupent que des boites IT, en leur donnant les articles que payent des sociétés de logiciels.
Bref, Merci Guillaume, heureusement que tu n'es pas directeur du FMI et que je ne suis pas Femme de Chambre, car j'aurais dit oui, tout de suite... LOL
Vous savez bien que même le nez dans leur caca, tous ces gens corrompus jusqu'à la moelle, nieront encore et toujours en vous regardant droit dans les yeux, mentir et tricher, c'est leur métier.
Non, c'est pas comme ça qu'il faut les convaincre.
erelav, le 17/05/2011 - 17:00
Magnifique résumé. Guillaume, tu comptes te déplacer devant chez TMG pour leur remettre le quiz en main propre?

Surtout qu'il n'est pas très loin ;)
1. Parce que sarkozy l'a ordonné pour faire plaisir à ses copains lhermitte et ayant-droits (de chialer).
2. Parce que TMG et l'hadopi se foutent de la loi et font ce qu'ils veulent.
3. Parce que tout le monde sait ce que donnerait un véritable audit indépendant.
4. Voir point 2, plus le fait qu'ils nous prennent pour des cons.
5. Voir point 1, plus le fait que Türk est probablement vendu.
6. Parce ça donnerais aux internautes le moyen de se défendre.
7. Parce que la cnil pense que ce pseudo controle pourra peut-être lui redonner un poil de la crédibilité qu'elle a totalement perdue depuis des années. Et qu'elle ne retrouvera pas de sitot.
wormlore, le 17/05/2011 - 17:44
Il y a un piège vicieux bien plus élémentaire:
- si l'adresse IP est une donnée personnelle, nous avons le droit d'y accéder. Nous refuser l'accès à ces informations est illégal, et toute leur procédure l'est aussi.
- si l'adresse IP n'est pas une donnée personnelle... eh bien, il n'ont simplement aucun moyen de nous poursuivre, ni même de nous "avertir" puisqu'ils ne peuvent pas remonter à une personne physique. (C'est la définition même d'une "donnée personnelle".)

Donc, soit ils nous communiquent ces informations, soit ils abandonnent toute la riposte graduée. A eux de choisir.


texte à retenir et à propager selon moi :-)
Baltyre, le 17/05/2011 - 17:25
Et surtout la grande question :
Es ce que TMG garde un fragment du fichier pour prouver qu'il y a bien eut un transfert de donnée ?

A une époque il y avait eut cette problématique avec les spécifications qui n'imposaient pas cela.
Du coup, le risque est que comme aux états unis, les radars de ces sociétés se contentent de récupérer la liste des ips que donne le tracker sans vérifier la véracité de cette liste.
Ce qui pose évidement des problèmes qu'on a pu aborder dans ces colonnes : Seedfuck ou voir meme trackers torrents diffusant volontairement un pourcentage d'ip bidonnées.
La parade est de tenter d'initier une connexion avec chacune des ips et de vérifier si celle ci répond bien, puis de capturer un fragment du fichier en guise de preuve. Mais cela deviens bien sur beaucoup plus couteux en temps et en ressources.

J'ai pas consultés les archives des serveurs de TMG, mais peut etre que celles ci apportent un éclairage sur ce sujet qui a mon sens est le plus gros talon d'achille du systeme Hadopi.

TMG établie la connexion est récupère un chunck. La notion de "beaucoup plus couteux" est toute relative ; avec la première technique tu récupères 100.000IPs en quelques secondes avec la seconde tu mettras une journée. C'est beaucoup plus couteux mais çà reste un volume important.
1) la CNIL c'est des vendus
2) TMG ce sont des incompétents
3) copinage toussa...
4) les ayants droits à part réclamer de l'argent sont des bons à rien.
5) copinage
6) Parce qu'ils savent pas le faire :D
7) ils font un barback entre eux pour fêter les beaux jours :D

CQFD :mdr:[/quote
+1 :yahoo:
lildadou, le 17/05/2011 - 19:42
Baltyre, le 17/05/2011 - 17:25
Et surtout la grande question :
Es ce que TMG garde un fragment du fichier pour prouver qu'il y a bien eut un transfert de donnée ?

A une époque il y avait eut cette problématique avec les spécifications qui n'imposaient pas cela.
Du coup, le risque est que comme aux états unis, les radars de ces sociétés se contentent de récupérer la liste des ips que donne le tracker sans vérifier la véracité de cette liste.
Ce qui pose évidement des problèmes qu'on a pu aborder dans ces colonnes : Seedfuck ou voir meme trackers torrents diffusant volontairement un pourcentage d'ip bidonnées.
La parade est de tenter d'initier une connexion avec chacune des ips et de vérifier si celle ci répond bien, puis de capturer un fragment du fichier en guise de preuve. Mais cela deviens bien sur beaucoup plus couteux en temps et en ressources.

J'ai pas consultés les archives des serveurs de TMG, mais peut etre que celles ci apportent un éclairage sur ce sujet qui a mon sens est le plus gros talon d'achille du systeme Hadopi.

TMG établie la connexion est récupère un chunck. La notion de "beaucoup plus couteux" est toute relative ; avec la première technique tu récupères 100.000IPs en quelques secondes avec la seconde tu mettras une journée. C'est beaucoup plus couteux mais çà reste un volume important.

Il y a une autre donnée à prendre en compte, TMG utilise un hash fichier pour l'identification mais rien ne prouve que la personne qui télécharge soit conscient d'être en infraction : Il recherche un fichier libre de droit par son nom, mais rien n'indique que le nom du fichier corresponde au contenu, et personne ne vérifie jamais un hash avant de télécharger.
Il verra que c'est un fake uniquement au moment d'ouvrir le fichier, donc après l'avoir entièrement téléchargé. Et quand bien même il s'en apercevrait en cours de téléchargement et l'annulerai, il aura put être flashé par TMG.

1
2
A LA UNE
LES + COMMENTÉS
> Tous les articles
Télécharger
7-Zip
Compression et décompression - Compression de fichiers
 
eMule 0.50a [Tombstone]
eMule (et mods eMule) - Mod eMule basé sur Xtreme
 
Revo Uninstaller
Nettoyeurs - Désinstallateur efficace et gratuit
 
Rightmark Memory Analyzer
Diagnostic - Mesurer le CPU et la mémoire RAM de votre ordinateur
 
Mai 2011
 
Lu Ma Me Je Ve Sa Di
25 26 27 28 29 30 1
2 3 4 5 6 7 8
9 10 11 12 13 14 15
16 17 18 19 20 21 22
23 24 25 26 27 28 29
30 31 1 2 3 4 5
Matoumba
EntrepreNantes
Numerama est un site du réseau PressTIC