Quels obstacles restent attendus sur la route de l’Hadopi ?
Avant d’envoyer ses premiers e-mails, l’Hadopi devra attendre la publication du décret définissant l’infraction de négligence caractérisée, et l’autorisation par la CNIL de la collecte des adresses IP des abonnés. Deux étapes semées d’embûches.
L’information la plus attendue délivrée par l’Hadopi lundi soir est qu’il sera « techniquement possible » d’envoyer les premiers e-mails d’avertissement à la fin du mois de juin, mais que dans les faits la procédure sera suspendue à la réunion d’au moins deux conditions :
1. La publication des décrets qui définissent l’infraction de négligence caractérisée, et la procédure à suivre devant la commission de protection des droits de l’Hadopi ;
2. L’autorisation de collecte des adresses IP par la CNIL. Les dossiers n’ont été déposés à la CNIL que la semaine dernière, et la Commission dispose jusqu’à quatre mois (deux mois renouvelables) pour rendre son avis.
Il y a aurait dû y avoir une troisième condition, mais passons sur la publication des fonctionnalités pertinentes des moyens de sécurisation, puisque comme nous l’avions révélé, l’Hadopi est décidée à passer outre. Elle avertira les internautes de leur obligation de protéger leur accès à Internet sans leur dire comment.
Reste donc ces deux conditions :
1. La publication du décret sur la négligence caractérisée de l’abonné
Il s’agit de la clé de voute de tout le dispositif. Il faut bien comprendre que ça n’est pas le téléchargement illégal qui est officiellement sanctionné par l’Hadopi, mais le fait d’avoir fait preuve de « négligence caractérisée » à l’égard des ayants droit dont les oeuvres ont pu être piratées grâce à l’accès à Internet mal protégé de l’abonné. Mais encore faut-il savoir ce qu’est la négligence caractérisée pour la condamner.
On se souvient que le député UMP François Loos a demandé au gouvernement l’an dernier de préciser ce qu’était la négligence caractérisée, dont l’absence de définition « embarrasse tout le monde ». Contacté la semaine dernière par Numerama, le député nous a indiqué son intention de relancer le ministère de la Culture, qui n’avait pas répondu. Si l’on en croit le point d’étape de l’Hadopi, le décret pourrait cependant être publié d’ici la fin juin. Mais sa rédaction, sans cesse repoussée, sera périlleuse.
Rappelons en effet que si le Conseil constitutionnel n’a pas censuré l’infraction pour « négligence caractérisée » introduite dans la loi Hadopi 2, ça n’est pas et bien au contraire par manque d’envie. Mais c’est uniquement parce qu’il n’était pas compétent pour le faire. Les éléments constitutifs de l’infraction seront en effet précisés par décret, et en matière réglementaire c’est le Conseil d’Etat qui est compétent. Le Conseil constitutionnel a cependant envoyé un signal fort à son homologue administratif pour qu’il se montre intransigeant à l’égard du gouvernement. L’appel du pied était on ne peut plus clair.
Le commentaire officiel (.pdf) de la décision, réalisé par les propres services du Conseil constitutionnel, disait en effet que l’on « pouvait comprendre que les requérants aient cherché à ce que le Conseil constitutionnel examinât ce nouveau dispositif », puisque « la question de l’éventuelle inversion de la charge de la preuve à l’encontre du titulaire de l’accès à Internet (…) avait fondé un des motifs de la censure de la décision » contre Hadopi 1. Sur Hadopi 2, « le Conseil a néanmoins écarté ces griefs non pour des motifs de fond, mais pour des motifs de compétence ».
« C’est notamment sur la question de la définition du lien entre, d’une part, le constat de ce qu’un accès à internet est utilisé à des fins attentatoires aux droits d’auteurs et, d’autre part, l’engagement de la responsabilité pénale du titulaire du contrat d’abonnement (lien plus ou moins automatique selon la rédaction qui sera retenue par le projet de décret), que se concentre la question du respect ou de la méconnaissance de la présomption d’innocence », ajoutait le commentaire. « Ce n’est qu’au vu de l’ensemble des éléments constitutifs de l’infraction qu’il pourra être jugé si le dispositif institué porte atteinte au principe de légalité des délits et des peines, au principe de nécessité des peines et à la présomption d’innocence. Le Conseil constitutionnel n’était pas saisi de la définition de cette infraction et il n’est pas le juge de la légalité ou de la constitutionnalité de l’acte réglementaire qui procèdera à cette définition. Dès lors, il ne pouvait qu’écarter les griefs tirés de la violation des articles 8 et 9 de la Déclaration de 1789. Ce contrôle incombera en effet au juge du décret. »
Ainsi le décret devra préciser dans quelle mesure le fait de voir apparaître une adresse IP sur un réseau P2P dans le cadre du téléchargement d’une oeuvre protégée est suffisant pour démontrer l’infraction. Plus le décret imposera à l’abonné d’apporter les preuves de l’installation et de la mise en oeuvre de moyens de sécurisation, plus il risquera la censure du Conseil d’Etat pour violation de la présomption d’innocence. Inversement, plus il sera lâche sur les exigences imposées aux abonnés, plus il fera courir à l’Hadopi le risque d’être totalement inefficace.
2. L’autorisation de collecte des adresses IP par la CNIL
Quatre organisations d’ayants droit ont déposé depuis fin avril leurs dossiers de demande de collecte d’adresses IP. Il s’agit de demandes complémentaires aux autorisations déjà délivrées par la CNIL en 2007 et 2008 :
SACEM : Délibération n°2007-348 du 22 novembre 2007 autorisant la mise en œuvre par la Société des Auteurs Compositeurs et Editeurs de Musique (SACEM) d’un traitement de données à caractère personnel ayant pour finalité la recherche et la constatation des délits de contrefaçon commis via les réseaux d’échanges de fichiers dénommés « peer to peer » (autorisation n°1091623).
ALPA : Délibération n°2007-298 du 11 octobre 2007 autorisant la mise en œuvre par l’Association de Lutte contre la Piraterie Audiovisuelle d’un traitement automatisé de données à caractère personnel ayant pour finalité la réalisation de statistiques concernant la circulation des œuvres audiovisuelles sur les réseaux d’échanges de fichiers dits de « pair à pair ». (demande d’autorisation 1108491)
SCPP : Délibération n°2007-334 du 8 novembre 2007 autorisant la mise en oeuvre par la Société Civile des Producteurs Phonographiques d’un traitement de données à caractère personnel ayant pour finalité la recherche et la constatation des délits de contrefaçon commis via les réseaux d’échanges de fichiers dénommés « peer to peer ». (autorisation n°1090042)
SPPF : Délibération n°2008-006 du 10 janvier 2008 autorisant la mise en oeuvre par la Société Civile des Producteurs de Phonogrammes en France (SPPF) d’un traitement de données à caractère personnel ayant pour finalité la recherche et la constatation des délits de contrefaçon commis via les réseaux d’échanges de fichiers dénommés « peer to peer » (autorisation n°1106668)
En principe, il ne devrait s’agir que d’une formalité. Lors des délibérations de 2007 et 2008, les données collectées avaient pour finalité d’être transmises à un juge, et non à l’Hadopi qui n’était pas encore créée. Il faut donc mettre à jour les dossiers pour que la nouvelle finalité soit prise en compte.
Mais ça ne sera pas qu’une formalité. Comme nous l’expliquions le mois dernier (puis avec plus de détails à propos de la collecte de l’INRIA), pour autoriser la collecte des adresses IP la CNIL doit vérifier la « proportionnalité » de la collecte par rapport à l’objectif poursuivi. Or dans son avis sur loi Hadopi, la CNIL avait considéré ne « pas être en mesure de s’assurer de la proportionnalité d’un tel dispositif dans la mesure où il laissera aux seuls SPRD (sociétés de gestion collective, ndlr) et organismes de défense professionnelle le choix de la politique répressive à appliquer sur la base d’un fondement juridique dont les contours sont mal définis ». Elle reprochait le fait que les ayants droit, avec la même collecte d’adresses IP, puissent choisir soit de saisir l’Hadopi pour l’envoi d’un avertissement par mail ou l’éventuelle suspension de l’accès à Internet, soit de saisir la justice pénale pour une sanction allant jusqu’à trois ans d’emprisonnement. Or, si la CNIL n’est pas capable de s’assurer de la proportionnalité du dispositif, elle refusera d’homologuer la collecte. Donc, rien n’est fait.
La CNIL dispose d’un maximum de quatre mois pour accorder son autorisation, mais elle pourrait aussi décider de les suspendre à la publication du décret sur la négligence caractérisée. Si la collecte des adresses IP a pour objet de sanctionner la négligence caractérisée de l’abonné, encore faut-il savoir ce qu’est cette négligence pour vérifier que le dispositif est proportionné.
Source : Numerama