Alors que des décrets d’applications pour qu’elle rentre en service sont encore attendus, la HADOPI pourrait faire face à un bout de code qui inonde le réseau peer to peer Bittorent de fausses adresses IP.

On connait les milles-et-uns reproches que l’on peut adresser à la loi HADOPI 1, parmi un univers de questions techniques, juridiques et même d’opportunité.

Mais parmi ces éléments reste une question centrale : dans quelle mesure une adresse IP (collectée sur un réseau peer to peer) peut-elle être rattachée au titulaire de l’abonnement à Internet ?

La meilleure façon d’y répondre, selon la loi HADOPI, est encore de ne pas se poser la question, c’est-à-dire d’y répondre par la présomption que derrière une adresse IP se cache toujours un abonné. Au plus parle-t-on de « moyens de sécurisation » de la connexion (dont les spécifications ne sont pas parues au Journal officiel), signe qu’il y aurait bien une défaillance technique….

L’adresse IP, une donnée personnelle ? Peut-être pas aujourd’hui…

Lorsqu’elle s’y attaque, la loi peut toutefois répondre que l’adresse IP est une donnée à caractère personnel^[1] :

« Constitue une donnée à caractère personnel toute information relative à une personne physique identifiée ou qui peut être identifiée, directement ou indirectement, par référence à un numéro d’identification ou à un ou plusieurs éléments qui lui sont propres. Pour déterminer si une personne est identifiable, il convient de considérer l’ensemble des moyens en vue de permettre son identification dont dispose ou auxquels peut avoir accès le responsable du traitement ou toute autre personne. »

Pour la CNIL, l’adresse IP est bien sûr une donnée à caractère personnel, en ce qu’elle « permet d’identifier indirectement la personne physique titulaire d’un abonnement à Internet »^[2]. Elle en est cela soutenue par quelques décisions d’instance^[3].

Le problème de cette qualification protectrice de la vie privée, c’est que les poursuites contre des « pirates » ont toutes été rejetées. En effet, l’adresse IP n’est une « preuve » recevable que si les autorités de poursuite^[4] peuvent fournir une autorisation de la Commission nationale Informatique et Libertés pour les bases de données qui ont été mises en place pour détecter les pirates sur les réseaux peer to peeer.

Cela n’a jamais été le cas : ces fichiers de surveillance automatisée avaient été établis en toute illégalité, et les « pirates » pouvaient donc continuer à télécharger tranquillement.

C’est sans doute la raison pour laquelle d’autres juridictions ont considéré au contraire que l’adresse IP n’était pas une donnée à caractère personnel, pour mieux accueillir les plaintes en contrefaçon^[5], aidées en cela par un changement de pratique des agents assermentés. En effet, plutôt que d’enregistrer l’IP dans une base de données qui n’avait pas reçu d’autorisation, ces mêmes agents notent maintenant l’adresse IP directement sur le procès-verbal, sans faire intervenir aucun traitement automatisé de données.

Pas de traitement automatisé, donc pas d’autorisation nécessaire de la CNIL, donc procédure (a priori) valable.

Si on considère que l’adresse IP n’est pas une donnée personnelle, on ne peut pas décemment déduire de l’adresse IP l’identité de la personne ; constater la présence de l’adresse IP en train de télécharger un contenu permettait seulement de constater la matérialité de l’infraction^[6], la question de l’identification étant laissée au fournisseur d’accès à Internet qui a attribué cette adresse IP a un de ses abonnés^[7].

C’est cela qui fut validé par la Cour de cassation, par deux arrêts de la Chambre criminelle^[8]. La Cour d’appel de Paris n’a pas opposé de résistance^[9].

L’adresse IP, une donnée identifiant la personne ? Certainement pas demain !

Tout cela, c’était avant les lois HADOPI 1 et 2.

Ce qui change avec ces lois, c’est la légalisation de fichiers de surveillance automatisée des réseaux peer to peer, automatisant le recueil et l’examen des adresses IP, afin de systématiser l’identification des auteurs des faits constatés et de simplifier leur sanction.

À tel point que plutôt que de réprimer le téléchargement illégal (c’est-à-dire la contrefaçon), on a préféré créer un manquement de la personne titulaire de l’accès à « l’obligation de veiller à ce que cet accès ne fasse pas l’objet d’une utilisation [à des fins de contrefaçon] », non sanctionné pénalement. À moins, toutefois, que la commission de protection des droits de l’HADOPI n’ait adressé une recommandation à l’abonné, faisant preuve d’une « négligence caractérisée »^[10].

À n’en pas douter, la simplification est au rendez-vous !… Mais à force de simplifier, ce qui était solide ne repose plus que sur des pieds d’argile !

Notamment, il avait été invoqué lors du débat de ces lois au Parlement qu’une adresse IP était aisément falsifiable.

La première méthode, c’est le VPN (Virtual Private Network, réseau privé virtuel), qui permet à l’abonné d’utiliser sa connexion Internet pour se connecter à un serveur (tunnel), à partir duquel l’abonné échangera des données : l’adresse IP qui sera diffusée publiquement sera donc l’adresse IP du serveur distant, et non celle fournie par son fournisseur d’accès à Internet.

La seconde réside en « l’injection » d’adresses IP dans un téléchargement. C’est ce qu’un code poétiquement baptisé « Seedfuck » propose : générer aléatoirement (ou non) des adresses IP et faire croire à tout observateur sur le réseau peer to peer (comme un agent assermenté) que cette adresse IP échange des données, ce qui amènerait le collège de la protection des droits de la HADOPI à intervenir.

L’idée est qu’en multipliant le nombre d’adresses IP à examiner, la HADOPI verrait exploser ses coûts de fonctionnement, en même temps qu’un ralentissement de son activité, et surtout, devrait faire face à la sanction de personnes innocentes, qui n’auraient pas téléchargé, mais dont un fournisseur d’accès pourrait néanmoins attester qu’il a attribué cette adresse à un de ses agonnés au moment du téléchargement simulé.

On a cherché à convaincre que la sanction de cette pratique pourrait se faire sur le fondement de l’article 434-23 alinéa 1 du Code pénal, qui dispose :

« Le fait de prendre le nom d’un tiers, dans des circonstances qui ont déterminé ou auraient pu déterminer contre celui-ci des poursuites pénales, est puni de cinq ans d’emprisonnement et de 75 000 € d’amende. »

Ce délit nécessite d’abord pour être constitué la prise du nom d’un tiers réellement existant^[11]. Le principe d’interprétation stricte de la loi pénale^[12], interdit que l’on puisse tordre la règle jusqu’à considérer que l’adresse IP serait une caractéristique du nom, alors même que l’on souhaite assurer la plus grande prévisibilité dans l’application de la règle. Inutile donc d’essayer de lire « donnée à caractère personnel » là où figure, simplement, « nom », une notion qui signifie spontanément quelque chose à tout le monde.

En revanche, cette disposition est technologiquement neutre : si la prise du nom s’effectue par une adresse de courrier électronique^[13] ou sur des réseaux sociaux (Facebook ou Twitter), le délit d’usurpation d’identité peut naturellement trouver à s’appliquer. Finalement, en l’état actuel du droit, et pour aussi condamnable que puisse être l’effet du « Seedfuck » il me semble que les victimes de ces pratiques n’auraient donc aucun recours en droit pénal.

Cela ne sera peut-être qu’un bref répit pour les pirates ! En effet, le projet de loi d’orientation et de programmation pour la performance (dit « LOPPSI 2 ») propose justement la création d’un nouvel article 226-16-1 au Code pénal, qui disposerait (après son adoption en 1ère lecture par l’Assemblée Nationale le 16 février 2010) :

«Le fait de faire usage, sur un réseau de communications électroniques, de l’identité d’un tiers ou de données de toute nature permettant de l’identifier, en vue de troubler la tranquillité de cette personne ou d’autrui, est puni d’un an d’emprisonnement et de 15 000 € d’amende.

« Est puni de la même peine le fait de faire usage, sur un réseau de communications électroniques, de l’identité d’un tiers ou de données de toute nature permettant de l’identifier, en vue de porter atteinte à son honneur ou à sa considération. »

Si bien sûr cette nouvelle infraction a été conçue sur mesure pour l’usurpation sur Internet, sa rédaction est imprécise : qu’entend-t-on par « des données de toute nature permettant de l’identifier » ? S’agit-il simplement du pseudo, qui permet une identification sur de nombreux sites, ou cela va-t-il jusqu’à l’adresse IP ? Qui doit pouvoir identifier la personne : tous les internautes, seulement l’administrateur du site ? Seul le fournisseur d’accès à Internet, en tout cas, peut identifier personnellement son abonné avec son adresse IP.

On notera également qu’il ne s’agit plus de faire entrainer le risque de poursuites pénales à un tiers, mais seulement d’en troubler la tranquillité ou de porter atteinte à son honneur ou à sa considération. Difficile d’invoquer le harcèlement tout en riposte graduée de la HADOPI pour caractériser le trouble à la tranquillité ; difficile également d’invoquer une atteinte à l’honneur ou à la considération résultant de l’envoi de recommandations par correspondance privée.

Pour revenir sur la question de fond, on peut douter que l’HADOPI subisse le moindre effet de ce stratagème. Ce sont les agents assermentés aux services des sociétés de perception et de répartition des droits qui iront collecter les adresses IP sur les réseaux peer to peer : un récent rapport de la Commission permanente de contrôle des sociétés de perception et de répartition des droits auprès de la Cour des comptes a montré qu’elles avaient les moyens de recourir à des solutions techniques performantes.

Le problème, naturellement, se trouve du côté des « faux positifs », qui se verraient accusés à tort de téléchargement. Malgré les difficultés de preuve, ils ne seraient pas cependant pas démunis et pourraient recourir à l’utilisation de la « super base de données » des hébergeurs de l’article L. 34-1 II du Code des postes et communications électroniques, déjà mise à disposition de la HADOPI, qui contiendra les véritables informations relatives à l’usage de la connexion par l’abonné… à moins que le Wi-Fi domestique ne soit piraté !

Encore faudrait-il prendre « Seedfuck » pour ce qu’il est : un proof of concept, c’est-à-dire une preuve par l’exemple que l’on peut falsifier les adresses IP dans un réseau peer to peer… Rien de plus, rien de moins.

*

* *

MISE À JOUR : Éric Freyssinet, actuellement chargé des projets cybercriminalité à la Direction Générale de la Gendarmerie Nationale, me signale par Twitter que j’ai oublié un article 24 undecies du projet de loi LOPSSI 2 qui crée, dans sa version adoptée par l’Assemblée Nationale en première lecture, un article 434-23-1 qui dispose :

Le fait de faire usage de l’identité d’un tiers, ou de données de toute nature permettant de l’identifier en vue de troubler sa tranquillité ou celle d’autrui, ou de porter atteinte à son honneur ou à sa considération est puni d’un an d’emprisonnement et de 15 000 € d’amende.

Cette nouvelle incrimination a été créée par voie d’amendement pour élargir les hypothèses d’usurpation d’identité au trouble à la tranquillité et à l’atteinte à l’honneur ou à la considération, alors que l’actuelle incrimination posée à l’article 434-23 restreint l’usurpation aux simples hypothèses dans lesquelles l’identité de la victime serait utilisée pour diriger contre elle des poursuites pénales. Elle serait également valable sur Internet puisque sont comprises les “données” permettant d’identifier la victime.

Néanmoins, dans la mesure où il s’agit d’une combinaison différente des mêmes éléments constitutifs commentés plus haut, cette incrimination n’a qu’un apport limité. La seule différence réside dans le fait qu’une “confusion” est possible entre usurpation dans l’univers physiques et usurpation dans l’univers numérique, sans doute pour mieux sanctionner l’ensemble, mais en restant limité aux hypothèses finalement les moins graves. Néanmoins, ce projet d’article me parait mieux rédigé et plus opportun pour les autorités de poursuite que l’éventuel futur article 226-16-1…

A lire également

• Excellente rétrospective d’Olivier Laurelli sur ReadWriteWeb France.

Notes et références

1. Loi n°78-17 du 6 janvier 1978 modifiée, article 2 [retour]
2. CNIL, Délib. n°2006-294, 21 décembre 2006, Délibération autorisant la mise en œuvre par l’Association de Lutte contre la Piraterie Audiovisuelle LPA d’un traitement de données à caractère personnel ayant pour finalité principale la recherche des auteurs de contrefaçons audiovisuelles [retour]
3. TGI Bobigny, 14 décembre 2006, Legalis.net : « l’adresse IP constitue une donnée à caractère personnel en ce qu’elle permet d’identifier une personne en indiquant sans doute possible un ordinateur précis » ; TGI Saint-Brieuc, 6 septembre 2007, Juriscom.net : analogie avec le numéro de téléphone ; TGI Paris, ord. réf., 24 décembre 2007, Legalis.net [retour]
4. En réalité les agents assermentés des sociétés de perception et de répartition des droits : SACEM, SDRM, SCCP… [retour]
5. TGI Montauban, 9 mars 2007, Legalis.net ; CA Paris, 27 avril 2007, Legalis.net ; CA Paris, 15 mai 2007, Legalis.net : « cette série de chiffre en effet ne constitue en rien une donnée indirectement nominative relative à la personne dans la mesure où elle ne se rapporte qu’à une machine, et non à l’individu qui utilise l’ordinateur pour se livrer à la contrefaçon » [retour]
6. Simple rappel, en réalité, de l’article L. 331-2 du Code de la propriété intellectuelle [retour]
7. V. CA Paris, 1er février 2010, Legalis.net [retour]
8. Cass. Crim., 13 janvier 2009, pourvoi n°08-84088 ; Cass. Crim., 16 juin 2009, pourvoi n°08-88560 [retour]
9. CA Paris, 1er février 2010, Legalis.net [retour]
10. Code de la propriété intellectuelle, article L. 335-7-1 [retour]
11. Cass. Crim., 13 mai 1991, pourvoi n°90-86419 [retour]
12. Code pénal, article 111-4 [retour]
13. Comme dans Cass. Crim., 20 janvier 2009, Legalis.net, sur renvoi après cassation par Cass. Crim. 30 mai 2007, Legalis.net [retour]

Pierre-Camille Hamana est diplômé de la promotion 2010 du Master 2 Droit des nouvelles technologies (major de promotion, mention TB), et diplômé d’un LLB de l’University of Kent.