Dans le cadre de la riposte graduée mise en oeuvre en collaboration avec l'industrie musicale, le fournisseur d'accès à Internet irlandais Eircom a envoyé 300 avertissements infondés à ses abonnés. L'homologue de la CNIL en Irlande a décidé d'ouvrir une enquête qui portera sur la légalité-même de la riposte graduée.

Il y a un an, l’opérateur télécom irlandais Eircom mettait en place une riposte graduée via un accord privé avec les producteurs musicaux. Contrairement à la France qui a fait le choix de mettre en place une autorité administrative qui fait écran entre les ayants droit et les fournisseurs d’accès à Internet, l’accord obtenu sous la contrainte prévoit que les adresses IP des abonnés sont envoyées directement à l’opérateur par l’association irlandaise de l’industrie musciale (IRMA), qui prend en charge leur collecte.

Mais le Commissaire à la protection des données de l’Irlande, l’homologue local de la CNIL, a décidé de lancer une enquête sur la mise en œuvre de la riposte graduée irlandaise. Le Sunday Times a en effet révélé que « les prédictions selon lesquelles Eircom finirait par accuser à tort des utilisateurs innocents se sont révélées correctes, avec plus de 300 utilisateurs à qui ont été envoyés par erreur une lettre de ‘première semonce’ qui les accuse d’avoir partagé de la musique« , rapporte l’EDRI.

Les abonnés d’Eircom ont été avertis à tort après un bug dans le système qui fait correspondre l’adresse IP relevée par les ayants droit au nom de l’abonné qui en était titulaire au moment de l’infraction. Eircom a admis l’existence du problème, en expliquant que « c’était dû à une défaillance logicielle provoquée lorsque l’heure a été retardée en octobre dernier« . En clair, le changement d’heure a fait que les heures indiquées sur les relevés d’adresses IP n’ont plus correspondu aux heures présentes dans les journaux du FAI.

L’occasion était trop belle pour le Commissaire à la protection des données de mettre enfin un bon coup de pied dans la riposte graduée. Le gendarme irlandais de la vie privée était vexé de voir qu‘à l’instar de l’Hadopi en France, et par une interprétation contraire à celle de toutes les CNIL européennes, un juge irlandais avait affirmé que l’adresse IP n’est pas une donnée personnelle pour autoriser la mise en œuvre de l’accord entre Eircom et l’IRMA.

Plutôt que de se contenter d’enquêter sur cette faille technique dans le relevé de preuve, le Commissaire a donc déidé de lancer une enquête approfondie sur l’illégalité potentielle de la riposte graduée, au regard de la proportionnalité du dispositif. S’il estime que le système d’avertissement et de sanction ne constitue pas un usage « raisonnable » des données personnelles des abonnés, il pourra mettre en demeure Eircom de cesser tout envoi d’avertissements.

En France, le mois dernier, la CNIL a ouvert une enquête sur TMG, chargé de collecter les adresses IP destinées à l’Hadopi. Mais l’enquête, comme l’audit commandé par les ayants droit, porte uniquement sur les aspects liés à la sécurisation des données personnelles récoltées, pas sur la fiabilité du processus de collecte des preuves. Or s’agissant depuis la loi Hadopi 2 d’une procédure pénale, la collecte des preuves devrait faire l’objet d’un processus certifié, pour ne souffrir aucune contestation possible.

Partager sur les réseaux sociaux

Articles liés