Intervention de Mireille Imbert-Quaretta

Certains ont émis des doutes sur la réalité des chiffres publiés. L'activité de la CPD est montée en charge de manière constante. Cinq cents envois de premières recommandations avaient été effectués dès le 1er octobre 2010. Les internautes visés ont été choisis manuellement, après que les agents de la CPD ont procédé à toutes les vérifications nécessaires pour chacun d'entre eux, de façon à s'assurer qu'il n'y avait pas de doublon et qu'il s'agissait bien de personnes réelles. Des FAI nous avaient en effet averti qu'ils nous « feraient des blagues » sur l'identité des titulaires d'abonnement. Au 1er juillet 2011, avaient été adressées 470 500 premières recommandations et 20 500 deuxièmes, au 1er septembre respectivement 580 000 et 35 000, et au 1er octobre 650 000 et 45 000. Nous avions annoncé en juillet que pour une dizaine de dossiers, nous en étions au stade de la troisième phase. Nous étions passés la semaine dernière à une soixantaine et ce matin encore, dix dossiers supplémentaires avaient été constitués. Soixante-dix sont donc aujourd'hui à l'instruction. Tous les chiffres indiqués sont établis. Quel intérêt aurions-nous à mentir ? Les trois magistrats qui composent la CPD, issus respectivement de la Cour de cassation, de la Cour des comptes et du Conseil d'État, ne sont pas payés à l'envoi des recommandations ni à la transmission des dossiers au parquet !

Je répondrai maintenant sur la faille de sécurité constatée chez TMG en juin dernier. Je précise tout d'abord que TMG n'est pas un sous-traitant de la Hadopi – laquelle n'est pas un gendarme du Net – mais des ayants droit. Nous n'avons aucun lien contractuel avec TMG. Ensuite, la Hadopi, seule autorité administrative à ne disposer d'aucun moyen ni de contrainte ni de sanction, ne pouvait, contrairement à la CNIL, se rendre chez TMG pour effectuer les vérifications nécessaires. L'un de nos experts a toutefois accompagné la CNIL lors de son inspection, comme celle-ci en avait formulé le souhait. Il est apparu que les lacunes de sécurité concernaient non pas les serveurs dédiés à la réponse graduée mais d'autres, utilisés par TMG pour d'autres activités. Néanmoins dès que le secrétaire général m'a informée du problème, j'ai pris la décision, puisque je suis la responsable en dernier ressort, de suspendre immédiatement notre interconnexion avec TMG. Je refusais qu'il y ait le moindre risque, aussi minime fût-il, de pouvoir remonter jusqu'au système d'information de la Hadopi qui contient, lui, toutes les données personnelles des internautes suivis – nom, adresse, constats… Cette interconnexion est aujourd'hui toujours suspendue. Nous restons en contact étroit avec les ayants droit. Leurs représentants ont confié un audit à un cabinet indépendant, dont les résultats nous ont été communiqués dès juillet. Nous avons acquis la certitude que la sécurité des données sur les adresses IP n'avait été compromise ni avant ni après le constat de cette lacune. Le cabinet d'audit a formulé diverses préconisations, que TMG a d'ores et déjà mises en oeuvre. Nous avons clairement fait savoir aux ayants droit qu'avant de rétablir l'interconnexion, nous souhaitions qu'un tiers de confiance garantisse l'absence de tout risque.

J'en viens à l'identification des adresses IP par les FAI. Aujourd'hui, nous travaillons avec les cinq plus gros fournisseurs – alors qu'on en compterait un peu plus de 1 100, d'après les derniers chiffres de l'Autorité de régulation des communications électroniques et des postes (ARCEP). Nous sommes en train de mettre sur pied le système d'identification des titulaires d'abonnement pour les FAI virtuels, essentiellement Darty. Sur quelque 1 600 000 demandes d'identification, nous avons reçu un peu plus de 1 300 000 réponses. Comment s'explique cet écart ? Nous avons beaucoup appris à l'occasion de ce travail sur les adresses IP. Près des trois quarts de ces adresses sont dynamiques, ce qui rend beaucoup plus difficile d'identifier les abonnés, en particulier lorsqu'ils sont connectés, contrairement à ce que nous aurions eu tendance à penser. Ensuite, nous avons constaté des doublons, liées notamment à des homonymies, lesquelles ne sont pas des hypothèses d'école : à la signature d'un contrat d'abonnement à internet, on n'exige pas de fournir un extrait d'acte de naissance avec mention de l'état-civil des parents. Enfin, l'activité commerciale de certains FAI, parfois étrange, peut rendre assez difficile d'identifier le titulaire effectif de l'abonnement.

La réponse graduée vise à faire changer les comportements non seulement des internautes mais aussi des fournisseurs de produits culturels. Nous avons noté chez les premiers une prise de conscience des conséquences du téléchargement illégal pour les artistes, leur rémunération et l'offre culturelle en général. Bien que le recul soit encore insuffisant, nous pouvons d'ores et déjà tirer quelques conclusions. Dès lors que nous avons adressé 650 000 premières recommandations et qu'il y a eu moins de 10 % de réitérations puisque seules 45 000 deuxièmes recommandations ont été nécessaires, c'est la preuve que les internautes concernés ont modifié leur comportement après le premier mail d'avertissement, comme le confirme d'ailleurs une étude menée parallèlement.

Le nombre des échanges par courrier ou par téléphone qui ont eu lieu avec les intéressés après ces envois figure à la page 44 du rapport d'activité. Leur première demande est de connaître la liste des oeuvres téléchargées : ils ne comprennent pas que nous ne la leur communiquons pas immédiatement lors de l'envoi des recommandations mais seulement, comme le prévoit la loi, après qu'ils en ont formulé la demande. Ils souhaitent aussi savoir quel logiciel de téléchargement a été utilisé et ce qu'ils peuvent faire à l'avenir. Dans leur très grande majorité, les abonnés savent qui chez eux a téléchargé.

Il est important pour nous, notamment dans une perspective pédagogique, de savoir ce qui pousse certains à télécharger illégalement et comment ils s'y prennent. Les auditions de troisième phase, qui viennent de commencer, sont très instructives. Nous avons tout d'abord constaté qu'il y avait une méconnaissance totale de ce qu'est la mise en partage. Ainsi un abonné a-t-il été « flashé » 54 fois pour la même oeuvre avec le même logiciel, notamment 16 fois un même jour. La plupart des abonnés n'ont pas conscience que s'ils conservent sur leur accès une oeuvre illicite ainsi que le logiciel ayant servi à la télécharger, l'élément matériel du délit de contrefaçon est constitué aussi longtemps que cette oeuvre et ce logiciel y demeurent. Ils ne sont pas non plus au fait des précautions qu'il convient de prendre dans la communication de ses identifiants avec les free wifi. Donner ses identifiants sur un free wifi, c'est comme confier la clé de sa maison à n'importe qui, avec la liberté d'en faire un double. On risque fort de ne plus maîtriser ce qui se passe chez soi. Là encore, il faut prendre du temps pour la pédagogie.

J'en viens aux moyens de sécurisation, sans doute le point le plus délicat. Les choses ont évolué entre les lois Hadopi 1 et Hadopi 2. Dans la seconde, il n'y a plus de lien entre la constitution de l'infraction de négligence caractérisée et la mise en oeuvre d'un moyen de sécurisation labellisé, alors que dans la première, la mise en place d'un outil de sécurisation était une cause exonératoire. Or, que dire de la sécurisation de l'accès quand c'est l'abonné lui-même qui télécharge illégalement ?

Jamais nous n'imposerons au titulaire d'un abonnement de placer un moyen de sécurisation DPI sur son accès internet, la position de la CPD est sans ambiguïté sur ce point. Le principe est d'en appeler à la responsabilisation des personnes, en tirant les conséquences de la persistance d'éventuels comportements illicites, et non de contrôler, à l'insu des internautes, les flux sur le réseau. L'incise sur le filtrage dans la décision du Conseil constitutionnel relative à la LOPPSI 2 conforte notre position.

Un mot pour terminer de l'avenir de la réponse graduée. Lors d'une conférence de presse en janvier dernier, j'avais fait valoir, ce qui avait étonné les journalistes présents, que de jure comme de facto, elle était appelée à disparaître à terme. En effet, si le dispositif ne fonctionnait pas, il n'y aurait aucune raison de le maintenir. Et s'il fonctionne, le comportement des 5 % d'internautes qui continuent à télécharger illégalement après l'envoi d'une deuxième recommandation, lesquels sont d'ailleurs voraces puisqu'ils consomment à eux seuls 80 % de la bande passante par leurs téléchargements répétés, relève-t-il encore de ce dispositif ? Les abonnés ainsi rétifs ne sont pas légion. Nous ne sommes certes actuellement saisis que par les ayants droit d'oeuvres musicales ou cinématographiques, pas de jeux vidéo ni d'ouvrages. Nous en avons toutefois repéré un sur l'accès internet duquel nous avons trouvé une même journée deux oeuvres musicales et sept films différents avec quatre logiciels différents. Il ne peut s'agit d'une mise en partage s'ignorant. Ou bien cette personne ne maîtrise pas du tout son wifi ou bien elle télécharge illégalement de manière considérable. À ce stade, cela relève du tribunal correctionnel.

En un an, nous avons formulé un million et demi de demandes d'identification et envoyé une recommandation à quelque 3 % du total des abonnés à internet. Ce n'est pas rien. Nous ne disposons pas encore de statistiques très fines nous permettant d'analyser plus en détail les comportements individuels mais des orientations se dégagent.