La fuite de données sur un serveur de TMG, prestataire indirect de l'Hadopi pour la collecte des adresses IP, pose un certain nombre de questions sérieuses auxquelles la CNIL et la Haute Autorité devront répondre.

1. Pourquoi la CNIL a-t-elle donné son autorisation de collecte des adresses IP à TMG contre toute logique ?

La CNIL a accordé aux industries musicales et cinématographiques le droit de faire appel aux services de TMG sur la seule base d’un rapport interne qui était pourtant accablant. « La Hadopi se limitera à accepter ou refuser les constats transmis, sans possibilité de les vérifier« , notait le commissaire de la CNIL qui expliquait que même les agents assermentés qui tamponnent les constats ne pourraient pas matériellement « détecter des anomalies dans une session de collecte« . Officiellement, les autorisations avaient été délivrées après avoir également entendu les observations du gouvernement. Sauf que celles-ci, comme nous l’avions révélé en octobre dernier, n’ont jamais existé. La CNIL a autorisé la collecte des adresses IP par TMG en sachant qu’elle comportait des risques, sans donner le moindre argument convaincant pour se justifier. Pire, elle nous expliquait alors qu’elle n’avait pas à permettre « à des tiers de comprendre pourquoi nous avons délivré l’autorisation« .

2. Pourquoi des adresses IP figurent sur des fichiers datés d’avril 2008 ?

Comme nous le révélions dimanche, les documents trouvés sur le serveur de TMG et dont nous avons eu connaissance s’étalent sur une période allant du 2 avril 2008 au 14 mai 2011. Or la loi de 1978 oblige à la destruction des données personnelles après « la durée nécessaire aux finalités pour lesquelles elles sont collectées et traitées« . Plus précise, l’autorisation délivrée par la CNIL impose à TMG de supprimer les données destinées à l’Hadopi 24 heures après leur collecte, et au plus tard trois jours après. Même à considérer que ces données ne sont pas liées à l’Hadopi, comme l’assurent TMG (et la SCPP qui utilise ses services), est-il normal de trouver ces adresses IP dans des fichiers datant de plus de trois ans ?

3. Pourquoi n’y a-t-il jamais eu d’audit externe de TMG ?

Dans son rapport accablant du 10 juin 2010, sur lequel elle s’est pourtant fondée pour donner son feu vert, la CNIL expliquait qu’il serait « préférable que le système de collecte soit « homologué » par un tiers de confiance », pour renforcer la sécurité juridique des constats« . Or il a fallu attendre septembre 2010, une fois le contenu du rapport publié, pour que l’Hadopi évoque pour la première fois la possibilité d’un audit. « Nous étudions en ce moment les modalités de tels audits, de sorte qu’ils soient effectués dans la plus grande objectivité et indépendance« , nous assurait à l’époque la Haute Autorité, qui parlait de « grande transparence sur ce dispositif« . Depuis, l’Hadopi elle-même a visité les locaux de TMG, comme la CNIL, mais aucun audit extérieur n’a jamais été réalisé. Maintes fois annoncé, jamais entrepris. Pourquoi ?

4. Pourquoi les ayants droit n’ont pas procédé aux audits trimestriels prévus ?

Toujours dans le rapport de la CNIL, il était prévu que les ayants droit effectuent des « audits internes trimestriels » sur le système de TMG. Or comme le rapporte aujourd’hui PC Inpact, le patron de la SCPP reconnaît lui-même que ces audits n’ont jamais eu lieu. Il n’y a eu qu’un seul audit avant l’envoi des premiers e-mails, lors de la phase de tests. « Nous avons fait tous les tests chez TMG et il n’y a eu aucune erreur constatée. Par ailleurs était prévue une intervention de vérification de fiabilité des données transmises à la Hadopi avant cet été« , se défend Marc Guez, le délégué général du lobby des maisons de disques. Accordons lui que cette question n’a pas beaucoup d’importance, puisqu’il était de toute façon idiot de demander aux bénéficiaires de la riposte graduée d’être eux-mêmes les gendarmes de l’honnêteté des procédures.

5 . Pourquoi la CNIL a-t-elle voulu cacher son avis sur la transmission des dossiers aux tribunaux ?

Au mois de mars dernier, le gouvernement a fait paraître un décret qui prévoit que les données collectées par TMG pourront être transmises aux tribunaux via l’Hadopi, de manière informatisée. Ce texte est extrêmement sensible, puisqu’il participe à une automatisation de la justice. La CNIL, qui a été appelée à donner son avis sur le texte, a toujours refusé de le transmettre au public et aux journalistes, alors qu’elle le fait spontanément pour d’autres textes. Il y a eu de la part de la Commission une volonté manifestement délibérée de ne pas faciliter les recours contre ce décret, ce qui lui vaut ce mardi d’être rattrapée par la CADA, qui donne raison à nos confrères de PCInpact. La CNIL sera obligée de transmettre le document, mais sans subir aucune conséquence pour sa mauvaise foi, faute de sanctions prévues dans les textes.

6. Pourquoi l’Hadopi refuse-t-elle de transmettre les PV de constat d’infractions aux justiciables avertis ?

Certains abonnés avertis par l’Hadopi ont utilisé notre modèle de réponse, pour demander communication du PV d’infraction, en vu éventuellement de le contester devant les tribunaux. Ils ont tous essuyé un échec, l’Hadopi expliquant de manière fort curieuse que « à ce stade de la procédure, nous ne pouvons accéder à votre demande dans la mesure où ce document ne contient pas de données à caractère personnel vous concernant« . Ce qui nous amène à cette ultime question à laquelle devront répondre la CNIL et l’Hadopi :

7. Pourquoi la CNIL et l’Hadopi se rendent-ils chez TMG si l’adresse IP n’est pas une donnée personnelle ?

Nous avions déjà eu l’occasion de dire que pour estimer que l’adresse IP n’est pas une donnée personnelle, la présidente de la Commission de protection des droits (CPD) de l’Hadopi, Mireille Imbert-Quaretta, se fondait sur une interprétation fort contestable d’une jurisprudence de la cour de cassation. Nous pointions alors une première contradiction : « si l’adresse IP n’est pas une donnée personnelle, pourquoi les ayants droit ont-ils l’obligation de recueillir l’autorisation de la CNIL avant de collecter ces adresses IP ?« . A l’époque, Mireille Imbert-Quaretta s’était retranchée derrière la séparation des pouvoirs entre les deux autorités administratives pour ne pas nous répondre.

Pourtant, nouvelle contradiction. Les seules données sensibles fuitées dans les documents de TMG sont des adresses IP. Or si les adresses IP ne sont pas des données personnelles, pourquoi la CNIL et l’Hadopi se sont-ils empressés de se rendre ensemble mardi matin à Nantes pour contrôler TMG ?

C’est là un piège inattendu tendu par ces fuites. Si la CNIL sanctionne, c’est qu’elle confirme que l’adresse IP est bien une donnée personnelle qui mérite protection. Or si l’adresse IP est une donnée personnelle, l’Hadopi sera dans l’obligation de communiquer les PV aux abonnés, qui pourront les contester devant les tribunaux. Si la CNIL ne sanctionne pas, il faudra qu’elle s’en explique avec de meilleurs arguments que ceux présentés par TMG.

Et vous, voyez-vous d’autres questions ?

Partager sur les réseaux sociaux

Articles liés