Négligence caractérisée : HADOPI peut-elle être à la fois la cause et la solution du problème ?
Comme nous vous en parlions récemment, la HADOPI a lancé un important chantier visant à labelliser des moyens de sécurisation, destinés, dans le dispositif prévu par la loi, à permettre aux abonnés de prouver qu'ils n'ont pas manqué de diligence dans la sécurisation de leur accès Internet. Comme on pouvait s'en douter et comme annoncé par tous les spécialistes, cette mission s'avère particulièrement complexe et ne pourra en aucun cas répondre aux éxigences telles que formulées dans la loi à savoir, une « sécurisation de l'accès Internet ».
La sécurisation d'une connexion Internet implique la sécurisation de bout en bout des communications et la sécurisation de chaque élément du réseau permettant l'acheminement du contenu.
S'il est relativement aisé de protéger le contenu par le chiffrement, des données qui transitent sur le réseau, la protection du contexte, à savoir tout l'environnement permettant le bon acheminement d'une information d'un point A à un point B, s'avère beaucoup plus compliquée. De par le caractère ouvert et public du réseau Internet, les éléments qui constituent le contexte ne sont pas sécurisables de manière naturelle par l'abonné.
Une ambiguité sur la finalité de cette sécurisation
À la lecture de l'appel d'offre publié par la Haute Autorité, se restreignant au réseau local et mettant l'accent sur la pédagogie, Bearstech a évalué la pertinence d'une réponse. Il parait évident que les internautes ont besoin de sécuriser leur accès pour protéger leur vie privée. Mais ce qui représente une réelle menace, ce n'est pas l'utilisation de cet accès pour le téléchargement d'oeuvres soumises à droit d'auteur, ce sur quoi la loi se concentre (bien que le titulaire de la ligne soit soumis à une contravention de 1 500 euros). En effet, HADOPI est, malgré elle, un prétexte supplémentaire pour les personnes malveillantes d'utiliser frauduleusement l'accès Internet d'autres internautes. Chose d'autant plus dommageable que ce sont généralement les personnes les plus vulnérables de par leur manque de connaissances techniques, qui feront les frais d'une mauvaise solution à un faux problème.
HADOPI peut-elle être à la fois la cause et la solution du problème ?
Peut on considérer la HADOPI comme légitime dans une mission de sécurisation des accès Internet ? Cette question tire sa pertinence du texte de loi lui même, où il n'est nul fait mention de la protection des données personnelles des internautes.
Pour paraphraser Christine Albanel, alors ministre de la Culture, lorsqu'elle émettait l'idée que les accès wifi publics proposent des listes blanches (c'est à dire que les accès wifi ne permettent plus d'accéder à Internet, mais seulement à une liste de sites prédéfinis), HADOPI entend éviter que les connexions domestiques des internautes publics ne servent pas de « rampe de lancement au piratage ».
Ce n'est pas l'internaute qu'HADOPI protège, elle ne protège d'ailleurs pas grand chose en cherchant à faire peser sur ses épaules une nouvelle menace. Elle exige des internautes, sous peine d'une contravention pouvant aller jusqu'à 1500 euros, qu'ils protègent les ayants-droit, sans être en mesure de fournir les outils nécessaires pour y parvenir. En cela, la loi HADOPI est une cause du problème, il est donc difficilement envisageable qu'elle devienne un jour une solution.
En conclusion, la négligence caractérisée reprochée aux internautes ne porte pas un instant sur leur propre sécurité et ne met pas nécessairement en évidence une atteinte manifeste à leur système de traitement automatisé de données. La contravention pour négligence caractérisée, dans les faits, n'a donc pour finalité que « sécuriser » portefeuille de quelques entreprises à qui profite le volet répressif du texte. Nous demeurons à ce jour convaincus que cette sanction agrave le problème et ne le solutionne en rien..
Et si on parlait vraiment de sécurité ?
Pour les entreprises et les administrations, il existe en France des institutions qui émettent des préconisations en matière de sécurité informatique, c'est le cas du CERTA et de l'ANNSI dont les avis éclairés ne souffrent d'aucune ambiguïté sur leurs objectifs.
Concernant les particuliers, seule la CNIL qui se focalise sur les données personnelles disposait jusque là d'un champ d'action sur les problématiques liées à la sécurité de ces données pour les particuliers... Mais une connexion Internet, dont il est difficile de cerner le périmètre et dont la mise en oeuvre de la sécurisation est complexe, reste quelque chose de très différent de la « simple » protection des contenus. Et jusque là, les particuliers n'avaient nul besoin de réellement se préoccuper de la sécurité de leur accès Internet. La majorité des internautes ont pris l'habitude de sécuriser, tant que leur permettaient leurs connaissances, seulement leur ordinateur, et non le reste de leur connexion, tout simplement parce que c'est dans leur ordinateur que se trouve ce qu'ils ont à protéger, et non sur leur réseau, ce qui, techniquement, est une erreur. Étendre ainsi la responsabilité de l'utilisateur à des concepts qui sont de son point de vue aussi abstraits pour lui que pour le législateur nécessite un long et douloureux effort d'éducation. En ce sens, la Haute Autorité se trouve malgré elle investie d'une mission aux objectifs mal définis et à la finalité trompeuse pour le public auquel elle s'adresse.
Pour ajouter un peu à la confusion, nous noterons également que la CNIL a récemment publié un guide de sécurisation des données personnelles que vous pouvez télécharger ici.
Dans ce contexte, les ours de Bearstech estiment qu'il apparaît difficile de s'engager dans la construction d'un outil dont l'objectif de départ est tronqué et ne saurait, en aucun cas, servir véritablement les personnes qui aspirent à une sécurité accrue pour leurs données personnelles, bien que techniquement, la sécurisation d'un accès internet couvre « collatéralement » le périmètre des données personnelles d'un abonné.
