La Hadopi, Haute autorité pour la diffusion des œuvres et la protection des droits sur internet, continue d'être dans l'actualité plusieurs années après la création de la riposte graduée. Les envois de mails Hadopi n'ont jamais été aussi nombreux, et l'on ne sait pas toujours comment réagir. Voici donc de quoi répondre à toutes vos questions sur Hadopi.

Plus de cinq ans après le début de la riposte graduée lancée contre les utilisateurs de BitTorrent, l’Hadopi continue de monter en puissance et d’envoyer des milliers de mails d’avertissements chaque jour, pour tenter de lutter contre le piratage par la dissuasion et la sanction. Mais son action reste parfois méconnue ou incomprise.

Numerama fait donc le point dans cette FAQ, à travers de multiples question. Qu’est-ce qu’Hadopi ? Que risque-t-on à pirater sur BitTorrent ou eMule ? Peut-on recevoir des avertissements en faisant du streaming ? Comment réagir si l’on reçoit un mail de l’Hadopi ? Comment contourner Hadopi ? Comment sécuriser son accès à internet pour ne plus recevoir de courriers ? Combien de personnes ont été condamnées ? Nous répondons à toutes vos interrogations.

Christine Albanel, mère de la Hadopi
Christine Albanel, mère de la Hadopi

Hadopi, c’est quoi ?

La Hadopi est la Haute autorité pour la diffusion des œuvres et la protection des droits sur internet. Elle est issue d’une loi du 12 juin 2009 complétée par une loi du 28 octobre 2009.

Elle a été crée principalement pour mettre en œuvre la « riposte graduée », pour lutter contre le piratage de films, musiques, ou séries TV — et en théorie tous types d’œuvres artistiques qui circulent sur internet. Juridiquement parlant, elle ne sanctionne pas le fait de copier ou de partager des œuvres en ligne, mais le fait pour l’internaute de ne pas avoir empêché que son accès à internet soit utilisé pour pirater. C’est ce qui est appelé la « négligence caractérisée  ».

L’Hadopi ne sert toutefois pas qu’à la riposte graduée. Elle a quatre missions imposées par le législateur :

  1. La protection des œuvres sur internet (la fameuse riposte graduée)
  2. L’encouragement au développement de l’offre légale (à travers désormais son site OffreLegale.fr qui référence toutes les offres « pouvant être regardées comme étant légales », même si elles n’ont pas été reçu le label PUR qui certifie leur légalité)
  3. La régulation des DRM et autres mesures de protection des droits (l’Hadopi a ainsi rendu des avis concernant la lecture des Blu-Ray avec VideoLAN VLC, ou le dépôt légal à la BNF)
  4. La labellisation de moyens de sécurisation (c’est-à-dire en pratique la certification de logiciels de contrôle parental qui seraient efficaces pour éviter de recevoir des avertissements Hadopi, ce qu’elle n’a jamais fait)

En tant qu’institution, l’Hadopi est une autorité administrative indépendante composée d’une petite cinquantaine de personnes, installée à Paris, rue du Texel. Elle se décompose en deux entités, d’un côté le collège de l’Hadopi qui est chargé des trois dernières missions et du pilotage global de l’institution, et de l’autre la commission de protection des droits (CPD), chargée de mettre en oeuvre la riposte graduée.

La Hadopi est dotée d’un budget annuel d’environ 8,5 millions d’euros (budget 2016). Son président est Christian Phéline. La CPD était présidée par Mireille-Imbert Quaretta, arrivée en fin de mandat. C’est désormais Dominique Guirimand qui est en poste. À la suite du licenciement d’Éric Walter, la secrétaire générale par intérim était Pauline Blassel.

Christian Phéline, président de la Hadopi.
Christian Phéline, président de la Hadopi.

Et Avec La riposte graduée, qu’est-ce qu’on risque ?

La riposte gradée (ou « réponse graduée » selon la terminologie officielle) est une procédure qui vise d’abord à avertir l’internaute par e-mail puis par courrier recommandé, pour le prévenir qu’il risque une sanction (au maximum une amende de 1 500 euros) s’il continue à pirater sur internet (depuis juillet 2013 il n’est plus possible de faire couper l’accès à internet des contrevenants).

L’Hadopi ne sanctionne pas elle-même, mais envoie des dossiers aux tribunaux lorsque des internautes continuent de pirater malgré l’envoi d’au moins deux avertissements, dont un par courrier postal. La loi impose un calendrier :

  • Un premier mail d’avertissement Hadopi (sur l’adresse connue par le FAI, souvent celle @orange.fr , @free.fr, @sfr.fr, etc.)
  • Si récidive dans les 6 mois qui suivent l’e-mail, deuxième avertissement par e-mail et envoi d’un courrier en recommandé avec accusé de réception (LRAR)
  • Si récidive dans les 12 mois qui suivent la LRAR, le dossier peut être examiné par la commission de protection des droits, qui décide ou non de transmettre l’affaire au tribunal en vu d’une éventuelle condamnation.

Depuis 2015, l’Hadopi envoie parfois un avertissement en lettre simple avant la phase de LRAR, ce qui ajoute dans les faits une étape supplémentaire. Par ailleurs, il lui arrive de rouvrir des dossiers fermés en cas de multiples récidives espacées dans le temps.

Ce n’est pas le piratage en tant que tel qui est sanctionné, mais le fait de ne pas avoir essayé correctement de l’empêcher.

Notez que sur le plan strictement juridique, la riposte graduée vise à sanctionner la « négligence caractérisée  », qui est définie par la loi comme le fait pour le titulaire de l’accès à Internet de « ne pas avoir mis en place un moyen de sécurisation » , ou d’avoir « manqué de diligence dans la mise en œuvre de ce moyen ». Ce n’est pas le piratage en tant que tel qui est sanctionné, mais le fait de ne pas avoir essayé correctement de l’empêcher. C’est ça qui sera vérifié par la CPD et par le tribunal.

Il s’agit en effet de faire respecter l’article L336-3 du code de la propriété intellectuelle, qui dispose que « la personne titulaire de l’accès à des services de communication au public en ligne a l’obligation de veiller à ce que cet accès ne fasse pas l’objet d’une utilisation à des fins de [piratage] ».

Et concrètement ça fonctionne comment les mails hadopi ?

La Haute autorité envoie des avertissements à l’internaute lorsque son accès à internet est détecté sur un réseau Peer-to-Peer (P2P) comme BitTorrent ou eMule, et qu’il y partage une œuvre protégée par le droit d’auteur. À chaque accès à internet est associée une adresse IP, et c’est cette adresse IP qui est détectée.

Elle ne peut intervenir que contre l’utilisation de réseaux P2P, où les partages de films ou d’albums de musique sont réalisés sur la place publique, à l’exception des rares réseaux P2P chiffrés.

La détection de l’adresse IP n’est pas réalisée par l’Hadopi elle-même, mais par un prestataire privé mandaté par des organisations de titulaires de droits d’auteur. Actuellement il s’agit de la société nantaise TMG, qui est mandatée par :

  • Des professionnels de la musique (SACEM, SCPP, SPPF, SDRM)
  • Des professionnels du cinéma (ALPA)

Ces organisations ont toutes reçu l’agrément de la CNIL. En revanche, ni l’industrie du jeu vidéo, ni l’industrie du livre n’ont souhaité faire appel à l’Hadopi pour protéger leurs droits. Un internaute qui téléchargerait livres ou jeux vidéo sur les réseaux P2P ne risque donc rien.

En pratique, pour détecter une adresse IP la société TMG commence un téléchargement d’une œuvre (parmi une liste secrète déterminée par les ayants droit) sur BitTorrent ou eMule, et note l’adresse IP de tous ceux qui la partagent. Ces détections font alors l’objet de procès verbaux de la part des agents assermentés des organisations qui l’ont mandatée.

Lettre Hadopi
Lettre Hadopi

Sur BitTorrent, TMG se rend sur les mêmes trackers publics de fichiers torrent que ceux utilisés par les internautes. A notre connaissance, les trackers BitTorrent privés (qui nécessitent un mot de passe) ne font pas l’objet d’une surveillance, ou rarement.

Les PV avec les adresses IP et les fichiers téléchargés sur BitTorrent ou eMule sont alors envoyées à l’Hadopi, qui demande aux fournisseurs d’accès à internet quel est le nom de l’internaute à qui elle était attribuée au moment de la détection de l’infraction, avec ses coordonnées (adresse e-mail, adresse postale…).

Je ne fais que du streaming. Je risque un avertissement Hadopi ?

Non, il n’est pas possible de recevoir un courrier d’avertissement Hadopi si l’on fait du téléchargement direct (HTTP, FTP, Newsgroups), ou si l’on regarde des films ou des séries TV sur un site de streaming. Pour plusieurs raisons.

D’abord parce que techniquement, il est absolument impossible pour un tiers de connaître les adresses IP qui se connectent sur de tels sites (seul le FAI le pourrait, mais c’est exclu). Or sans adresses IP, il n’y a pas d’identification possible de l’internaute, et donc personne à qui envoyer un avertissement. Seuls BitTorrent, eMule et d’autres réseaux P2P permettent de trouver l’adresse IP.

Attention : même si vous avez l’impression qu’il s’agit d’une application de streaming, techniquement Popcorn Time utilise le réseau BitTorrent et votre adresse IP est donc bien visible. Il en va de même pour Torrents Time utilisé par exemple sur The Pirate Bay ou KickAss Torrents. L’Hadopi peut savoir que vous l’utilisez, sauf à y adjoindre un VPN.

1popcorn-time-welcome-screen
Ceci n’est pas du streaming

Ensuite parce que juridiquement, le fait de regarder un film ou une série TV sur un service de streaming n’est pas illégal pour le spectateur, en l’état actuel de la jurisprudence (il faudrait démontrer un recel de contrefaçon, ce qui à notre connaissance n’a jamais été fait dans ces circonstances).

Enfin parce que l’Hadopi et les ayants droit appliquent une stratégie différente contre le streaming et le téléchargement direct, en voulant assécher leurs financements à travers des chartes signées par les régies publicitaires et par les plateformes de paiement. Sanctionner l’internaute n’est pas prioritaire.

J’ai reçu un mail Hadopi, que répondre ?

Pas de panique. D’abord, assurez-vous qu’il s’agit d’un vrai courrier Hadopi et non d’une arnaque. Le modèle (.pdf) ressemble à ça et ne demande aucune somme d’argent.

Mieux que du spam
Mieux que du spam

Ensuite, il est conseillé d’utiliser ce formulaire pour demander de recevoir par courrier la liste des œuvres qui auraient été piratées avec votre accès à internet, afin de vérifier si l’avertissement Hadopi reçu est effectivement légitime, et éventuellement de comprendre qui en est responsable dans le foyer et de prendre des mesures adaptées.

Si vous n’avez reçu qu’un mail d’avertissement, il ne paraît pas utile de réagir. Contentez-vous de faire ce qu’il faut pour ne pas recevoir d’autres courriers (pour rappel, un avertissement par courrier postal peut être envoyé en cas de récidive dans les 6 mois), et vous n’en entendrez plus parler.

Si vous recevez un courrier recommandé de l’Hadopi, deux stratégies de défense sont possibles.

En particulier si vous ne souhaitez pas que votre accès à internet soit utilisé pour télécharger des torrents de fichiers illégaux, veillez à désinstaller BitTorrent, µTorrent, Vuze, eMule ou tout autre logiciel de P2P. Vous trouverez la liste des logiciels installés sous Windows dans le panneau de configuration (sous Windows 10, tapez « supprimer un programme » dans la barre de recherche à côté du menu Démarrer). Notez cependant que ces logiciels peuvent être présents sur d’autres ordinateurs qui utiliseraient la même connexion à internet.

Si vous recevez un courrier recommandé de l’Hadopi, deux stratégies de défense sont possibles. La première est de garder le silence, puisqu’aucun dossier d’ordonnance pénale ne peut en principe être monté contre un internaute qui n’a pas livré certaines informations. C’est toutefois une stratégie risquée en cas de récidives acharnées qui peuvent toujours faire l’objet d’enquêtes. La deuxième consiste à répondre en apportant les éléments concrets de bonne foi qui démontrent que l’infraction de « négligence caractérisée » suspectée par l’Hadopi n’est pas constituée.

À cet égard si vous avez l’esprit taquin ou procédurier et souhaitez défendre vos droits avant le tribunal, nous avons préparé cette réponse-type que vous pouvez adapter et envoyer en indiquant votre numéro de dossier :

Madame, Monsieur,

J’ai bien pris connaissance de votre recommandation envoyée le jj/mm/aaaa à l’adresse [mon.adresse@mail.com], m’avertissant que mon accès à Internet a été utilisé le jj/mm/aaaa pour mettre à disposition, reproduire ou accéder à des œuvres culturelles protégées par un droit d’auteur.

Vous m’avez communiqué par courrier du jj/mm/aaaa le nom desdites oeuvres.

Or je vous adresse en préambule les observations suivantes, dont vous voudrez bien prendre note que :

* A la date de la constatation de l’infraction présumée, le logiciel pare-feu [nom du logiciel] ainsi que le logiciel de contrôle parental [nom du logiciel] étaient installés sur l’ordinateur de mon foyer ;

* Ces deux logiciels sont gratuits, et je ne dispose donc d’aucune facture ni preuve d’achat ;

* Étant matériellement dans l’impossibilité technique de prouver que ces logiciels étaient bien installés et activés le jj/mm/aaaa (date d’infraction présumée), je vous certifie sur l’honneur qu’ils l’étaient ;

* Mon réseau WiFi est sécurisé par une clé WPA.

* Personne n’a accès à cet ordinateur sans que j’en surveille personnellement l’utilisation ;

* Les fichiers dont la mise à disposition depuis mon adresse IP a été constatée par procès verbal ne sont pas présents sur mon disque dur, et à ma connaissance ne l’ont jamais été ;

Pour toutes ces raisons, je vous demande s’il vous plait de bien vouloir me transmettre copie intégrale du procès verbal de constatation des faits susceptibles de constituer un délit de contrefaçon, qui témoigne d’une probable intrusion frauduleuse dans mon système informatique.

Je vous prie également de m’indiquer si les faits de contrefaçon constatés et portés à votre connaissance ont fait l’objet d’une communication au procureur de la République, conformément à l’article 40 du code de procédure pénale. À défaut, je vous prie de m’en communiquer les raisons.

Par ailleurs, j’attire votre attention sur le fait que l’article L331-25 du code de la propriété intellectuelle dispose que la recommandation doit contenir « une information de l’abonné sur l’existence de moyens de sécurisation permettant de prévenir les manquements à l’obligation définie à l’article L. 336-3 ». L’article L331-26 du code de la propriété intellectuelle ajoute que « la Haute Autorité rend publiques les spécifications fonctionnelles pertinentes que ces moyens doivent présenter ».

Or à ce jour « les spécifications fonctionnelles pertinentes que ces moyens doivent présenter » n’ont été publiées par votre Haute Autorité. En conséquence, l’obligation d’information sur l’existence de moyens de sécurisation n’a pas pu être satisfaite par votre recommandation.

Pour ces motifs, la nullité de votre recommandation étant encourue, je vous demande en application des articles 39 et 40 de la loi n°78-17 du 6 janvier 1978 de bien vouloir faire droit à ma présente demande de suppression de toutes données me concernant qui seraient toujours inscrites dans votre « système de gestion des mesures pour la protection des oeuvres sur Internet ».

En cas de refus d’accéder à cette demande, je vous prie de bien vouloir m’en communiquer les motifs.

Vous remerciant pour l’attention que vous porterez à mes observations et mes demandes, et dans l’attente de votre réponse, je vous prie, Madame, Monsieur, d’agréer l’expression de mes sincères salutations.

Comment contourner Hadopi ?

Le mieux est évidemment de s’assurer que l’accès à internet n’est plus utilisé pour pirater, et de vous tourner vers l’offre légale. C’est non seulement plus sûr, mais aussi plus respectueux des créateurs, en particulier si vous téléchargez des œuvres que vous auriez achetées si vous n’aviez pu les avoir gratuitement en piratant.

Netflix a débarqué en France
Netflix n’est plus réservé aux Américains

Sinon si vous ne voulez rien changer à vos habitudes ou préserver votre vie privée, il faut masquer votre adresse IP. Plusieurs solutions sont possibles pour ce faire :

  • Arrêter le P2P et utiliser exclusivement des sites de streaming ou de téléchargement direct ;
  • Faire transiter le trafic BitTorrent par un VPN comme HideMyAssBTGuard, TorGuard, IBVPN, ou encore Proxy.sh. Moyennant quelques euros par mois, les VPN font transiter l’ensemble de votre trafic internet par des serveurs situés à l’étranger, ce qui masque votre adresse IP française. Il devient donc impossible d’identifier le nom de l’utilisateur de BitTorrent ou eMule.
  • Utiliser des logiciels de P2P sécurisés comme AntsP2P ou Peersm. Des solutions généralement lentes et très peu efficaces.
  • Utiliser des trackers BitTorrent privés (ce n’est toutefois pas une garantie absolue)

Comment sécuriser mon accès à Internet ?

C’est une question plus compliquée qu’il n’y paraît. La loi Hadopi prévoit que l’administration publie des informations sur les moyens de sécurisation qui seraient efficaces pour éviter que l’accès à internet soit piraté. Théoriquement, l’article L331-26 du code de la propriété intellectuelle impose que « la Haute Autorité rend(e) publiques les spécifications fonctionnelles pertinentes que ces moyens doivent présenter ». Mais concrètement elle ne l’a jamais fait, et ne le fera jamais, l’ancien secrétaire général ayant même jugé « hypocrite » de demander que cet aspect de la loi soit respecté par l’administration ;

En lieu et place de mesures certifiées efficaces, la Hadopi a donc publié des fiches pratiques qui expliquent par exemple comment désinstaller un logiciel de P2P (.pdf), ou comment sécuriser son accès Wi-Fi (.pdf).

Pourquoi ne pas utiliser un « XKCD Pass » pour votre clef ?
Pourquoi ne pas utiliser un « XKCD Pass » pour votre clef ?

C’est ce dernier point qui est le plus important. Une sécurisation avec un logiciel de contrôle parental sur un seul ordinateur ne servira à rien si d’autres peuvent se connecter au réseau familial pour pirater des films, des séries TV ou de la musique. Il est donc fondamental d’utiliser un accès sécurisé par une clé que l’on garde pour soi, et de préférence une clé WPA2, plus solide que le WEP ou le WPA.

Les entreprises peuvent aussi mettre en place des firewalls d’entreprises pour bloquer les protocoles ou les ports typiques des logiciels de P2P comme BitTorrent ou eMule, et imposer des chartes aux employés. Même s’il ne s’agit pas de mesures techniques, ces chartes font partie des « moyens » qui sont observés au moment d’évaluer la « diligence » de l’accusé.

Hadopi en chiffres clés, ça donne quoi ?

Au mois de septembre 2016 (.pdf), la Hadopi avait envoyé au total un peu plus de 7,47 millions de mails d’avertissements, plus de 671 100 courriers Hadopi en recommandé, et dressé plus de 5 000 constats de négligence caractérisée en troisième phase de la procédure, devant la commission de protection des droits (CPD). 1 209 dossiers ont été transmis aux tribunaux auprès des procureurs.

Au 30 septembre 2016, la Hadopi avait envoyé au total un peu plus de 7,47 millions de mails d’avertissements

hadopi-situation-fin-septembre

Chaque jour, l’Hadopi traite 50 000 adresses IP (chiffre communiqué en juin 2015). Un peu plus de la moitié (56 %) des constats d’infraction envoyés par les ayants droits à l’Hadopi concernent de la musique. Environ un tiers des avertissements (31 %) sont envoyés à des abonnés qui n’ont jamais été avertis auparavant.

Selon un sondage (.pdf) publié en juillet 2015, 62 % des Français connaissent l’Hadopi. 87 % de ceux qui ont reçu un avertissement Hadopi disent en comprendre la raison.

Quelles ont été les condamnations Hadopi ?

Le nombre de dossiers transmis aux procureurs qui font effectivement l’objet de poursuites est un secret bien gardé par la Hadopi, tout comme le nombre exact de décisions prononcées par les juges. Elles seraient d’une cinquantaine seulement depuis 2009.

On peut toutefois citer plusieurs condamnations d’individus dont l’accès à internet a continué à être utilisé pour partager sur BitTorrent ou eMule malgré des avertissements par courrier recommandé :

  • 13 septembre 2012, tribunal de police de Belfort : 150 euros d’amende ;
  • 3 juin 2013, tribunal d’instance de Montreuil : 600 euros d’amende et 15 jours de suspension de l’accès à internet ; (la peine ne fut jamais exécutée et la sanction a été supprimée dans la loi)
  • 3 octobre 2014, tribunal de grande instance de Lille : 800 euros d’amende avec sursis ;
  • 23 février 2015, tribunal de police de Gonesse : 300 euros d’amende ;
  • 8 septembre 2015, tribunal de police de Saint Girons : deux amendes de 500 euros ;
  • 16 avril 2015, tribunal de police de Bordeaux : 300 euros d’amende ;
  • 26 juin 2015, tribunal de grande instance d’Auxerre : rappel à la loi ;

hadopi-suites-judiciaires

« Sur les 1 209 dossiers que la CPD a décidé de transmettre à l’autorité judiciaire, 183 ont des suites connues à ce jour. Les trois quarts ayant été transmis au cours des quinze derniers mois, la plupart sont en cours de traitement judiciaire », indique la Hadopi dans son bilan trimestriel daté du 30 septembre 2016.

Elle ajoute noter «  une part importante de mesures alternatives aux poursuites. En pratique, après l’audition de la personne par les services de police ou de gendarmerie, et quand les faits ont cessé, ce sont le plus souvent des rappels à la loi qui interviennent, sur décision du procureur de la République ».

Qui risque le plus d’être poursuivi en justice ?

Depuis 2014, la Hadopi a mis en place des critères de sélection prioritaires des dossiers. Selon le rapport annuel 2015, la Commission de protection des droits (CPD) de l’Hadopi sélectionne en priorité les dossiers « les plus graves ».

Ce sont « ceux dans lesquels on constate l’utilisation de plusieurs logiciels pair-à-pair, ainsi que la mise à disposition de nombreuses œuvres de types différents (musique, film, série, spectacle vivant) », et ceux ayant fait l’objet de « procédures successives, dans lesquelles l’abonné a déjà été destinataire de plusieurs premières, voire de plusieurs deuxièmes recommandations ».

À cet égard l’Hadopi précise qu’il « s’agit de procédures concernant des abonnés qui ont déjà reçu une première ou une deuxième recommandation et pour lesquels la précédente procédure a été clôturée à l’issue du délai de réitération (six mois après l’envoi de la première recommandation ou un an après la présentation de la seconde) ».

En effet, le décret du 5 mars 2010 qui crée le fichier Hadopi a permis que les noms des personnes averties soient conservées pendant 14 mois après l’envoi d’un e-mail d’avertissement et jusqu’à 20 mois après l’envoi d’un courrier Hadopi par lettre recommandée.

(Article mis à jour le 26 novembre 2015)

Crédit photo de la une : Samuel Huron

Partager sur les réseaux sociaux

Articles liés