HADOPI : attention chérie, ça va spammer… ou pas

On avait failli l’attendre, le dernier décret d’application a été publié Lundi dernier. Il s’agissait du dernier obstacle… du moins sur le papier. Nous avons donc maintenant tous les ingrédients pour que la machine à spam la plus onéreuse du monde se mette en route. C’est donc très prochainement que nous allons pouvoir assister au spectacle que nous promet ces premiers envois de mails. Le décret se compose de 3 articles, un seul est réellement digne d’intérêt, le premier. On y apprend la teneur des pièces constituant le dossier, mais on assiste aussi au mini putsch adressé aux fournisseurs d’accès Internet en leur expliquant que même si le coût de la procédure n’est pas évoqué, ces derniers devront fournir une identification sous huitaine et fournir sous quinzaine les pièces sur les agissements de l’internaute pris en “flagrant délit d’ip sur un réseau p2p” (à l’insu de son plein gré ou pas… ce qui constitue bien le délit de négligence caractérisée que la HADOPI va tenter de réprimer comme elle le peut alors que de son côté l’Etat a toujours autant de mal à considérer avec diligence ses propres négligences caractérisées et même caractéristiques). En attendant, il faudra bien payer la facture si on veut mettre le feu au SMTP, et on imagine mal certains FAI sponsoriser les fantasmes de quelques uns, même si pour d’autres ceci ne devrait pas être un véritable obstacle.

Le décret explique aux fournisseurs d’accès qu’ils sont contraints de coopérer, amendes à la clef. A notre connaissance aujourd’hui, l’état des négociations sur la charge des identifications est au point mort. A titre indicatif, pour un particulier, dans le cadre d’une procédure, une identification se monnaye une trentaine d’euros, la HADOPI devrait avoir un prix de gros (8,5 euros par IP), mais 50 000 identifications par jour, ça représente quand même une petite somme très rondelette de 425 000 euros par jour, auxquels on ajoutera les frais de fonctionnement de la HADOPI, de ses prestataires techniques, des frais de justice pour l’Etat induits par des personnes accusées à tort (HADOPI a encore moins de chance de devenir rentable qu’un Twitter like sur France.fr)… je suis curieux de voir comment le candidat Sarkozy va justifier cette gabegie pour “protéger” cette industrie qui se voudrait culturelle. C’est pourtant la question que risque de lui opposer ces internautes qui figurez vous … sont aussi munis d’une carte d’électeur, un concept qui n’a pas été assimilé de tous. Machine à spam ou machine à perdre les élections, à ce niveau là on qualifiera ça de pléonasme.

On s’allonge sur le sofa et on sort les cacahuètes

On commence par les procès verbaux établis sous forme électronique, c’est une nouveauté, ça risque de prendre un peu de temps niveau rodage et on devrait assister, même avec une automatisation assez poussée, à quelque couacs. Soyons sympas et appliquons un coefficient d’erreur de 10% en phase de lancement, vu que le projet a du subir quelques lifting, la constitution même du constat de l’infraction avec les pièces requises s’est complexifiée à cause d’un petit détail… Seedfuck … vous savez le logiciel qui selon Franck Riester n’existe pas mais qui a quand même “un peu” modifié la procédure de constat de l’infraction. TMG expliquait ainsi qu’un morceaux du fichier devrait être téléchargé par ses soins pour que la collecte de preuves soit complète et surtout que le dossier transmis atteste bien qu’il y a eu un échange délictueux (pas d’information sur le surcoût de la procédure, ni sur le pièces matérielles à charge qui seront incorporées au dossier transmis à la HADOPI et qui faisait déjà cruellement défaut dans le premier décret d’application).

On nous aurait menti ?

Si vous ne l’aviez pas encore compris, HADOPI, c’est un truc qui est sensé vous terroriser, un peu comme une arme tactique de dissuasion. Mais au bout du compte, HADOPI, ce n’est pas un dispositif qui est sensé fonctionner ni être opérationnel à plein régime. On a fait une belle loi, avec des absurdités sans nom en total décalage avec les réalités techniques et budgétaires, mais c’est tout à fait normal vu qu’on ne compte pas l’appliquer de la manière dont elle est décrite (on peut aussi s’interroger sur les objectifs réels de la mise en place de ce dispositif). Nous nous sommes dotés d’un outil que nous n’aurons jamais les moyens de mettre en oeuvre, on ajoute à ceci le coût du travail parlementaire en temps de crise et le ridicule qui a plané et plane encore sur les pseudos solutions de sécurisation dont on risque de parler très vite … HADOPI n’est elle pas un fantastique trojan pour une suite que l’on connait tous et qui est déjà inscrite dans le marbre ?

HADOPI : un premier torchon en guise de décret d’application

Suite à une remarque de Metrogeek qui réagissait à mon précédent billet, j’ai été pris d’une envie subite de vous donner une lecture intelligible du premier torchon décret d’application d’HADOPI, il est évidemment très drôle car il s’appuie sur les arguments techniques du ministère de la culture pour consacrer des éléments comme preuve alors que la justice a déjà maintes fois répétée le contraire.

Notre torchon est donc le décret n° 2010-236 du 5 mars 2010 relatif au traitement automatisé de données à caractère personnel autorisé par l’article L. 331-29 du code de la propriété intellectuelle dénommé « Système de gestion des mesures pour la protection des œuvres sur internet ».

En français, ça nous donne : “le machin qui autorise le flicage par des milices privées qui auront le droit de manipuler vos données personnelles tel qu’autorisé par l’article L. 331-29 du code de la propriété intellectuelle dénommé Système de gestion des mesures pour engraisser les majors et qui ne rapporteront pas un rond aux créateurs”.

Que dit notre torchon ?

Article 1 :

Le traitement de données à caractère personnel dénommé « Système de gestion des mesures pour la protection des œuvres sur internet » a pour finalité la mise en œuvre, par la commission de protection des droits de la Haute Autorité pour la diffusion des œuvres et la protection des droits sur internet, de la procédure de recommandations prévue par l’article L. 331-25 du code de la propriété intellectuelle.

*** L’article 1 en français :

Le fichage décrit ici a pour but de donner les pleins pouvoirs à une milice “indépendante” nommée par l’Elysée, mandatant elle même des sous-milices privées et leur autorisant l’utilisation d’outils de collecte et de stockage de données personnelles (chez nous on appelle a des sniffers).

Article 2 :

Les données à caractère personnel et informations enregistrées dans le traitement prévu à l’article 1er figurent en annexe au présent décret.

*** L’article 2 en français

Le fichier établit par les milices comportera les données présentées en annexe.

Article 3 :

Les données à caractère personnel et informations mentionnées à l’article 2 sont effacées :
1° Deux mois après la date de réception par la commission de protection des droits des données prévues au 1° de l’annexe dans le cas où n’est pas envoyée à l’abonné, dans ce délai, la recommandation prévue au
premier alinéa de l’article L. 331-25 du code de la propriété intellectuelle ;
2° Quatorze mois après la date de l’envoi d’une recommandation prévue au
premier alinéa de l’article L. 331-25 du code de la propriété intellectuelle dans le cas où n’est pas intervenue, dans ce délai, la présentation au même abonné d’une nouvelle recommandation prévue au deuxième alinéa du même article ;
3° Vingt mois après la date de présentation de la lettre remise contre signature ou de tout autre moyen propre à établir la preuve de la date de présentation de la recommandation prévue au
deuxième alinéa de l’article L. 331-25 du code de la propriété intellectuelle.

*** L’article 3 en français

Allez, comme on est gentil on ne conservera ces données que presque 2 ans, soit 8 mois de plus qu’un fournisseur d’accès … à condition que vous n’alliez pas en justice pour tenter de prouver votre éventuelle bonne foi et votre innocence … même si c’est un voisin qui a explosé votre connexion wifi grâce à la bobox livrée par votre fournisseur d’accès, avec le wifi activé et du wep crackable en 3 minutes comme toute protection.

Article 4 :

I. ― Ont directement accès aux données à caractère personnel et aux informations mentionnées à l’annexe au présent décret les agents publics assermentés habilités par le président de la haute autorité en application de l’article L. 331-21 du code de la propriété intellectuelle et les membres de la commission de protection des droits mentionnée à l’article 1er.
II. ― Les opérateurs de communications électroniques et les prestataires mentionnés au 2° de l’annexe au présent décret sont destinataires :
― des données techniques nécessaires à l’identification de l’abonné ;
― des recommandations prévues à l’
article L. 331-25 du code de la propriété intellectuelle en vue de leur envoi par voie électronique à leurs abonnés.

*** L’article 4 en français :

Vos données personnelles seront accessibles aux amis de Nicolas Sarkozy et aux milices mandatées par ces mêmes amis.

Article 5 :

Les consultations du traitement automatisé font l’objet d’un enregistrement comprenant l’identifiant du consultant, la date, l’heure et l’objet de la consultation. Ces informations sont conservées pendant un délai d’un an.

*** Article 5 en français :

Pensez à laisser votre carte de visite. Nous la détruirons bien avant que les faux positifs incriminés n’accèdent à la justice pour faire défendre leur droit et prouver leur innocence.

Article 6 :

Les droits d’accès et de rectification prévus aux articles 39 et 40 de la loi du 6 janvier 1978, s’exercent auprès du président de la commission de protection des droits de la haute autorité.

*** Article 6 en français :

Si vous êtes innocent, envoyez un mail au président de la commission nommé lui aussi par l’Elysée, dans sa grande mansuétude, après une coûteuse procédure vous disculpant, peut-être daignera t-il retirer vos informations personnelles du fichier constitué par les milices autorisées.

Article 7

Le droit d’opposition prévu à l’article 38 de la loi du 6 janvier 1978 susvisé ne s’applique pas au présent traitement.

*** L’article 7 en français :

Comme vous êtes un internaute, donc forcément un voleur pédo nazi qui met des bombes dans les 4 coins des faux médicaments, vous n’avez pas les mêmes droits que les “vrais concitoyens”.

Article 8

Le présent traitement fait l’objet d’une interconnexion avec :
1° D’une part, les traitements automatisés de données à caractère personnel mis en œuvre par les organismes de défense professionnelle régulièrement constitués, les sociétés de perception et de répartition des droits, le Centre national du cinéma et de l’image animée, pour la collecte des données et informations mentionnées au 1° de l’annexe au présent décret ;
2° D’autre part, les traitements mis en œuvre par les opérateurs de communications électroniques et les prestataires mentionnés au 2° de l’annexe au présent décret pour la collecte des données et informations mentionnées à ce même alinéa. Cette interconnexion est effectuée selon des modalités définies par une convention conclue avec les opérateurs et prestataires concernés ou, à défaut, par un arrêté conjoint du ministre chargé de la culture et du ministre chargé des communications électroniques.
Les interconnexions prévues aux 1° et 2° sont effectuées selon des modalités assurant la sécurité, l’intégrité et le suivi des données et informations conservées.

*** Article 8 en français :

Comme la Haute Autorite ne bite rien à tout ce charabia technique, elle mandatera des milices privées, mais comme ces milices privées seront totalement inefficaces sans le concours des fournisseurs d’accès, ces derniers sont priés de collaborer avec la milice, même si les équipements qu’ils fournissent à leur clients ne sont pas en mesure d’assurer l’intégrité des données qui y transitent et encore mois de savoir qui s’y connecte.

Article 9 :

Le présent décret est applicable sur l’ensemble du territoire de la République, à l’exception de la Polynésie française.

*** Article 9 en français :

FAIS PETER LE VPN A TAHITI ! La Polynésie française a une longue tradition de flibuste, foutons leur la paix ils nous emmerderont peut être un peu moins avec leurs problèmes d’accès à la culture liés à l’insularité.

Article 10 :

La ministre de l’économie, de l’industrie et de l’emploi et le ministre de la culture et de la communication sont chargés, chacun en ce qui le concerne, de l’exécution du présent décret, qui sera publié au Journal officiel de la République française.

*** Article 10 en français :

Le Ministre de la Culture accède à la promotion de Ministre de l’Internet, un scoop qui sera prochainement publié dans votre canard favorit.

Bon tout ceci est très distrayant, mais le plus drôle, c’est quand même l’annexe, là on a du lourd !

Annexe :

Les données à caractère personnel et informations enregistrées dans le traitement dénommé « Système de gestion des mesures pour la protection des œuvres sur internet » sont les suivantes :

1° Données à caractère personnel et informations provenant des organismes de défense professionnelle régulièrement constitués, des sociétés de perception et de répartition des droits, du Centre national du cinéma et de l’image animée :

Quant aux faits susceptibles de constituer un manquement à l’obligation définie à l’article L. 336-3 du code de la propriété intellectuelle :

  • Date et heure des faits ;
  • Adresse IP des abonnés concernés ;
  • Protocole pair à pair utilisé ;
  • Pseudonyme utilisé par l’abonné ;
  • Informations relatives aux œuvres ou objets protégés concernés par les faits ;
  • Nom du fichier tel que présent sur le poste de l’abonné (le cas échéant) ;
  • Fournisseur d’accès à internet auprès duquel l’accès a été souscrit.
  • Quant aux agents assermentés et agréés dans les conditions définies à l’article L. 331-2 du code de la propriété intellectuelle:
  • Nom de famille, prénoms ;
  • Date et durée de l’agrément, date de l’assermentation ;
  • Organismes (de défense professionnelle régulièrement constitués, sociétés de perception et de répartition des droits ou Centre national du cinéma et de l’image animée) ayant procédé à la désignation de l’agent.

2° Données à caractère personnel et informations relatives à l’abonné recueillies auprès des opérateurs de communications électroniques en application de l’article L. 34-1 du code des postes et communications électroniques et des prestataires mentionnés aux 1 et 2 du I de l’article 6 de la loi du 21 juin 2004 pour la confiance dans l’économie numérique :

  • Nom de famille, prénoms ;
  • Adresse postale et adresses électroniques ;
  • Coordonnées téléphoniques ;
  • Adresse de l’installation téléphonique de l’abonné.
3° Recommandations par voie électronique et recommandations par lettre remise contre signature ou par tout autre moyen propre à établir la preuve de la date de présentation prévues à l’article L. 331-25 du code de la propriété intellectuelle ainsi que courriers et observations des abonnés destinataires des recommandations.

Annexe en français

Voici tous les éléments vous désignant comme coupable des faits qui vous sont reprochés ces éléments à eux seuls valent bien que l’on se passe de la présence d’un juge, une petite ordonnance judiciaire et hop, le tour est joué :
  • Date et heure des faits ;
  • Adresse IP des abonnés concernés ;
  • Protocole pair à pair utilisé ;
  • Pseudonyme utilisé par l’abonné ;
  • Informations relatives aux œuvres ou objets protégés concernés par les faits ;
  • Nom du fichier tel que présent sur le poste de l’abonné (le cas échéant) ;
  • Fournisseur d’accès à internet auprès duquel l’accès a été souscrit.
  • Quant aux agents assermentés et agréés dans les conditions définies à l’article L. 331-2 du code de la propriété intellectuelle:
  • Nom de famille, prénoms ;
  • Date et durée de l’agrément, date de l’assermentation ;
  • Organismes (de défense professionnelle régulièrement constitués, sociétés de perception et de répartition des droits ou Centre national du cinéma et de l’image animée) ayant procédé à la désignation de l’agent.

On note évidemment que les 2 seuls éléments techniques de preuve sont :

Voyons le bon côté des choses, avec un tel décret, c’est pas demain la veille qu’HADOPI sera appliquée. Dans ce décret on apprend même que la Polynésie française est un futur paradis pour hébergeurs de VPN… tout est dans la loi on vous dit.

HADOPI : improbable, inapplicable et impromulgable

Selon un article vu sur PCInpact reprenant un article paru dans la Tribune, la CNIL ferait de la résistance … et pour cause. Les contours d’HADOPI 2 devraient être fixés par décrets, mais voilà, quand la loi elle même est floue et inapplicable (techniquement il faut s’attendre à de grands moments), il ne faut pas espérer des décrets, qu’ils viennent, comme par magie, apporter des réponses maintes fois posées aux députés et au Ministère de la culture qui défendaient ce texte et dont les réponses, quand elles étaient formulées, ridiculisaient leurs auteurs.

Aujourd’hui, le bateau prend encore une fois sérieusement l’eau et la CNIL refuse d’apposer sa signature à un décret prévoyant la constitution d’un fichier des internautes pris, recensant nominativement les infractions qui leur sont reprochées. Dans une lettre adressée au gouvernement, la CNIL exige “que lui soit communiqué un autre projet de décret, celui qui porte sur la procédure de sanction appliquée aux pirates”. La CNIL n’a certes qu’un pouvoir consultatif, mais figurez vous que ce dernier est obligatoire. En l’absence d’un avis signé, positif ou négatif, le décret en question et donc la mise en place du dispositif n’est pas possible.

Ceci repousse évidemment encore la mise en route du dispositif qui ne pourra être appliqué avant avril 2010, après les élection régionales … comme nous l’avions prévu. Des coupures d’accès Internet avant les élections n’auraient pas été du meilleur effet.