Ok

En poursuivant votre navigation sur ce site, vous acceptez l'utilisation de cookies. Ces derniers assurent le bon fonctionnement de nos services. En savoir plus.

piratage

  • Audition de Bernard Cazeneuve sur le fichier TES

    Beaucoup de choses se sont passées depuis ma Question au gouvernement sur le fichier des "Titres Electroniques Sécurisés" (TES).

    La CNIL, le Conseil national du numérique et même la secrétaire d'Etat au numérique ont émis des critiques.

    Devant la pression, le Ministre de l'Intérieur a finalement accepté d'organiser un débat au Parlement.

    Nous l'avons auditionné en Commission des Lois mercredi après-midi... j'ai rappelé les risques de ce fichier centralisé, et demandé sa suspension dans l'attente du débat.

    Lien vers ma QAG de la semaine dernière

    Lien vers l'article du Figaro


    Mes remarques à Bernard Cazeneuve :

    14925554_10207882604887400_5490656510890463329_n.jpg

  • La sécurité informatique ... suite au piratage de données de l'UMP

    Des personnes se présentant comme les auteurs du piratage des données personnelles des députés UMP viennent de revendiquer l'opération, en expliquant la méthode, une banale injection SQL à partir d'une faille facile à trouver chez un prestataire extérieur, aidée par l'amateurisme des gestionnaires informatiques de cette société (le même mot de passe partout...).

    Un grand classique !!

    La leçon à tirer est que la sécurité informatique est un domaine sensible, où malheureusement, les fuites sont toujours possibles.

    Si des plaisantins arrivent à trouver l'ensemble des téléphones portables des députés, sénateurs et ministres, sans même avoir à forcer quoi que ce soit (les portes n'étaient pas fermées à clé...), imaginez ce que peuvent faire des pirates chevronnés qui n'hésiterons pas à forcer les portes pour s'emparer de données ultra sensibles.

    Même Bercy a été piraté ...

    La conclusion des auteurs de ce piratage des données UMP, c'est que plus on a de fichiers, plus on a de risques de fuites.

    Exactement ce que je disais dans l'hémicycle le 7 juillet dernier, lors des débats sur la proposition de loi relative à l'identité :


  • La sécurité informatique des ministères ...

    En juillet dernier bien avant les recentes attaques informatiques contre Bercy et l'Elysée j'ai interrogé tous les ministres, par le biais d'une Question Ecrite (QE), sur les mesures prises pour assurer la sécurité informatique de leur ministère.

    La question était courte mais précise :

    "M. Lionel Tardy demande à M. le ministre XXX de lui donner des indications sur les mesures de sécurité informatique prises dans son ministère, afin d'éviter les intrusions extérieures et les vols de données numériques. Il souhaite savoir s'il fait appel, pour ces missions, à des prestataires extérieurs, ainsi que le coût de ces prestations en 2009. Il souhaite enfin connaître les mesures qu'il entend prendre pour mettre en oeuvre les règles de sécurité du référentiel général de sécurité du 6 mai 2010".

    J'ai eu un certain nombre de réponses, souvent longues et détaillées :

    J'attend encore la réponse des ministères de l'Intérieur, de l'Education nationale et du cabinet du Premier Ministre.

    Je ne peux pas m'empêcher de vous livrer, in extenso, la réponse de Bercy qui date du 12 octobre 2010 :

    "Dans les ministères économique et financier, le haut fonctionnaire de défense et de sécurité « anime la politique de sécurité des systèmes d'information (SSI) et en contrôle l'application ».

    Cette politique est mise en oeuvre par la délégation aux systèmes d'information du secrétaire général, chargée de coordonner l'action des directions en matière de systèmes d'information et qui mène également des actions transversales cohérentes et structurantes et par les directions des ministères, responsables de la sécurité de leurs systèmes d'information (SI). Pour la SSI, et conformément à la réglementation, chaque directeur est assisté d'une « autorité qualifiée pour la SSI (AQSSI) ».

    Les AQSSI veillent à ce que : un réseau de personnes de confiance et compétentes en SSI soit déployé dans sa direction pour conseiller les autorités hiérarchiques (administration centrale et services déconcentrés) ; soient tenues à jour les listes des informations et des applications sensibles et que pour chacune soit désigné un « acteur responsable » chargé d'en déterminer la sensibilité, les niveaux de risque acceptables, les personnes (ou les fonctions) y ayant accès et avec quels droits.

    En outre, les AQSSI élaborent et font approuver par leur hiérarchie la politique de SSI (PSSI) de leur direction, déclinaison de la PSSI ministérielle ; elles se prononcent sur les mesures de sécurité, non techniques et techniques, proposées par les maîtrises d'ouvrages des applications pour protéger les informations sensibles et sur les risques résiduels qu'elles laissent subsister ; elles organisent l'homologation des systèmes, qu'ils entrent ou non dans le champ du référentiel général de sécurité (RGS). Enfin elles organisent la sensibilisation des personnels de leur direction.

    En tout état de cause, et comme le prescrivent aussi bien la réglementation et la PSSI ministérielle qui en découle, la SSI des ministères économique et financier est une préoccupation prise en compte dans les actions menées par les directions dans la construction et l'exploitation de leurs systèmes d'information.

    Toutefois, le renforcement de la SSI de l'ensemble de nos ministères exige également des actions transversales cohérentes et structurantes afin qu'il n'y ait pas entre les directions des niveaux de sécurité trop hétérogènes. En outre, la mutualisation de certaines mesures permet d'obtenir des économies d'échelle non négligeables. Pour atteindre ces objectifs et pour assurer l'efficacité de la démarche prévue par l'Agence nationale pour le SSI (ANSSI), les axes de travail porteront sur ces principaux chantiers : la mise en oeuvre d'une procédure adaptée aux environnements des ministères économique et financier pour l'homologation des SI ; la mise en conformité des infrastructures de gestion de clés mise en oeuvre au sein de nos ministères.

    Les mesures techniques de sécurité appliquées par les directions des ministères économique et financier sont à l'état de l'art : défense périmétrique (pare-feux et dispositifs de filtrage de contenu et de décontamination de la messagerie et des accès Internet), surveillance active des tentatives d'intrusion ; surveillance des interconnexions et des flux circulant sur les réseaux internes ; défense en profondeur, notamment sur les postes de travail (antivirus ...) sécurisation des applications (études amont et audits de sécurité, tests de vulnérabilité ...), les points d'attention portant notamment sur le niveau de sensibilité des données, le contrôle d'accès aux données, la sécurisation des accès logiques et la sécurisation des accès physiques ; sensibilisation et formation des personnels (à l'aide, notamment, de modules d'autoformation en ligne).

    Le comportement de la plupart des agents est prudent et, comme le leur demande la PSSI, ils signalent assez spontanément, en général, les incidents qu'ils constatent. Des difficultés subsistent cependant, qui ne sont d'ailleurs pas propres aux ministères économique et financier, quand certaines catégories de personnels doivent être équipées de matériels ou de logiciels dont il n'a pas été possible de vérifier l'innocuité. Ce constat n'a pas échappé à I'ANSSI lors de l'inspection de la SSI des ministères qu'elle a conduite il y a quelques années, inspection dont les recommandations ont été appliquées.

    Le montant du recours aux prestataires spécialisés en SSI peut être évalué s'agissant du ministère du budget, des comptes publics et de la réforme de l'État à 7,5 MEUR environ en 2009, ces prestations portant tant sur des études et audits de sécurité que sur la conception et la réalisation des infrastructures de sécurité du ministère.

    Le référentiel général de sécurité (RGS) fixe les règles pour suivre une démarche globale de sécurisation de ces SI pour assurer la cohérence d'ensemble du dispositif de sécurité. Cette démarche rend obligatoires les bonnes pratiques et recommandations publiées de longue date par l'ANSSI et largement reprises dans la PSSI ministérielle ; elle prévoit : d'identifier les risques et de déterminer les besoins de SSI ; d'adapter la SSI selon les enjeux et les besoins de sécurité des ministères économique et financier afin d'y consacrer les moyens financiers et humains adaptés ; d'élaborer une politique de sécurité au niveau ministériel pour partager la vision stratégique de la SSI et la décliner pour une mise en oeuvre opérationnelle au niveau directionnel ; d'utiliser les produits et prestataires labellisés par l'ANSSI, attestant ainsi du respect des exigences du RGS ; viser une amélioration continue de la SSI permettant d'assurer l'efficacité du système de sécurité face à l'évolution des menaces.

    La mise en place d'un processus d'homologation est rendue obligatoire par décret et précisé dans l'arrêté RGS pour l'ensemble des SI présents au sein de l'administration. L'organisation et la mise en oeuvre de ce processus reste limitée au niveau de l'autorité administrative. Pour apporter les éclaircissements nécessaires et ainsi favoriser l'application de ces exigences dans les délais prévus par le RGS, soit le 6 mai 2011 pour les nouveaux systèmes et le 6 mai 2013 pour les systèmes existants, une réflexion est en cours pour définir une procédure d'homologation générique qui puisse s'adapter aux étapes et acteurs de l'essentiel des projets réalisés au sein des ministères économique et financier, certains systèmes exceptionnels par leur taille et leur complexité, existants, déjà partiellement en service ou encore en développement nécessiteront probablement des réflexions spécifiques.

    En tout état de cause, l'homologation sera systématiquement effectuée pour les nouveaux projets, à compter du 6 mai 2011. Pour le stock existant d'échanges électroniques entre administrations et avec les usagers, elle sera effectuée progressivement en respectant les contraintes calendaires fixées par le RGS pour obtenir une mise en conformité au plus tard pour le début du mois de mai 2013. La direction des SI (DSI) a mis en place dès 2001 une infrastructure de gestion de clés qui permet à toutes les directions des ministères économique et financier de pouvoir coexister dans un espace commun de confiance sans devoir définir des mesures de protection à l'égard les unes des autres. Dès aujourd'hui tous les serveurs de télé-procédures des ministères, indépendamment de leur appartenance directionnelle sont dotés de certificats qui les identifient sur Internet et qui assurent la confidentialité des transactions.

    L'informatique de gestion et de communication (IGC) ministérielle organise en outre un service de filialisation proposé aux directions des ministères économique et financier qui souhaitent mettre en place I'IGC pour leurs propres besoins. Les règles fixées par le RGS relatives à la mise en oeuvre des infrastructures de gestion de clés doivent permettre, pour l'essentiel : l'établissement d'un ou plusieurs niveaux de sécurité des certificats électroniques adapté aux besoins des applications utilisatrices ; l'utilisation de produits de sécurité référencés pour l'authentification des agents dans les SI mis en oeuvre ; la validation des certificats par l'État.

    La mise en oeuvre de la politique de référencement des produits de sécurité est d'ores et déjà engagée par la direction générale de la modernisation de l'État (DGME) en liaison avec les ministères les plus concernés, dont les ministères économique et financier, et en coordination avec l'ANSSI en charge des phases amont de qualification des produits de sécurité. Afin de répondre à l'exigence de validation des certificats par l'État, qui vise à garantir l'authenticité d'un certificat électronique issu de l'administration, l'IGC ministérielle a conduit, par anticipation, en 2008 une démarche vis-à-vis de I'IGC de l'administration (IGC-A) gérée par l'ANSSI afin d'être reconnue dans la chaîne de confiance de l'administration française, chaîne dont l'IGC-A est le point d'entrée. Néanmoins, la validation des certificats par l'État reste partielle pour l'existant des ministères économique et financier.

    Certaines IGC directionnelles restant à filialiser pour être reconnues dans la chaîne de confiance de l'administration française. En amont de cette étape, et pour répondre à l'obligation de mise en oeuvre du RGS, d'autres travaux viseront à : valider les mises à jour, auprès des directions utilisatrices des certificats émis, des politiques de l'IGC ministérielle de façon à en limiter les impacts sur les applications ; programmer les évolutions des systèmes ; anticiper la qualification des IGC et le référencement des certificats d'authentification qu'elles émettent. Ces différentes tâches se poursuivront au cours des trois prochaines années.

    ... bref une réponse très technocratique ... que je vous laisse analyser en détail à la lumière des évènements récents.

  • Décret sur la négligence caractérisée : que va faire la Hadopi ?

    Le décret créant la contravention de négligence caractérisée dans la protection de sa connection internet est sorti au JO du 26 juin.

    On y apprend rien de plus que ce qui est déjà dans le texte de la loi :

    Constitue une négligence caractérisée, punie de l'amende prévue pour les contraventions de la cinquième classe, le fait, sans motif légitime, pour la personne titulaire d'un accès à des services de communication au public en ligne, lorsque se trouvent réunies les conditions prévues au II :
    « 1° Soit de ne pas avoir mis en place un moyen de sécurisation de cet accès ;
    « 2° Soit d'avoir manqué de diligence dans la mise en œuvre de ce moyen."

    « II. ― Les dispositions du I ne sont applicables que lorsque se trouvent réunies les deux conditions suivantes :
    « 1° En application de l'article L. 331-25 et dans les formes prévues par cet article, le titulaire de l'accès s'est vu recommander par la commission de protection des droits de mettre en œuvre un moyen de sécurisation de son accès permettant de prévenir le renouvellement d'une utilisation de celui-ci à des fins de reproduction, de représentation ou de mise à disposition ou de communication au public d'œuvres ou d'objets protégés par un droit d'auteur ou par un droit voisin sans l'autorisation des titulaires des droits prévus aux livres Ier et II lorsqu'elle est requise ;
    « 2° Dans l'année suivant la présentation de cette recommandation, cet accès est à nouveau utilisé aux fins mentionnées au 1° du présent II.

    Pour être éventuellement sanctionné, il faudrait d'abord avoir reçu une lettre recommandée de l'Hadopi et s'être fait prendre une deuxième fois dans l'année à télécharger sur les réseaux peer-to-peer. Il faudra ensuite que la commission de protection des droits (CPD) de l'Hadopi décide de poursuivre. Lors de l'audition de la semaine dernière, devant la commission des affaires culturelles de l'Assemblée nationale, j'ai cru comprendre qu'il y aura beaucoup de plus classements sans suites que de poursuites. Vu les effectifs (3 personnes à la CPD et quelques secrétaires) on ne sera pas à 50 000 mails par jour !

    La sanction est pour l'instant toute théorique car tant qu'une liste des moyens de sécurisation ne sera pas proposée au public, aucune sanction ne sera possible ! Comment voulez vous sanctionner des gens à qui on dit "vous devez sécuriser votre accès internet" sans leur avoir expliqué comment le faire ! Cette obligation est pourtant clairement inscrite par la loi dans les missions de l'Hadopi, qui doit rendre publiques les spécifications des logiciels de sécurisation. On attend toujours et j'ai l'impression que l'on risque d'attendre encore longtemps...

    Deuxième problème, au cas où une liste des moyens de sécurisation est mise en place : comment prouver qu'aucun moyen de sécurisation n'a été mis en place ? La lettre de l'Hadopi n'étant qu'une "recommandation", l'utilisateur n'a pas à rendre compte de ce qu'il fait. En cas de "récidive", il peut très bien affirmer avoir fait les diligences nécessaires, mais sans succès. Le Conseil constitutionnel ayant clairement affirmé qu'il ne peut y avoir de présomption de culpabilité, l'internaute sera présumé avoir fait le nécessaire, sauf preuve du contraire. C'est donc à l'accusation de prouver qu'il y a eu négligence caractérisée.

    Lors de l'audition devant la commission des affaires culturelles, j'ai bien senti que les responsables de l'Hadopi insistaient lourdement sur leurs missions de pédagogie vis-à-vis des internautes et sur le développement de l'offre légale, comme si, dès le départ, ils avaient fait une croix sur l'aspect "sanction".

  • Loi DADVSI : l'épouvantail à moineaux

    En 2005, les internautes ont beaucoup lutté contre la loi DADVSI, qui apparaissait alors comme une réelle menace. Depuis, la baudruche s'est bien dégonflée.

    Je viens d'en avoir encore un nouvel exemple avec la réponse apportée par la garde des Sceaux à une question écrite que je lui avais posé en début d'année.

    Je lui demandais si des condamnations avaient été prononcées sur la base des articles R.335-3 et R.335-4 du code de la propriété intellectuelle, qui réprime la possession et l'usage de logiciels pouvant "cracker" les DRM et porter atteinte à la propriété intellectuelle. Au moment où ces mesures ont été prises, on s'était inquiété des conséquences possibles, car beaucoup de logiciels peuvent, entre autres choses, servir à porter atteinte à la propriété intellectuelle.

    A ce jour, ces deux articles n'ont jamais servi ... aucune condamnation en 4 ans !

    Pour moi, Hadopi est en train de suivre la même voie : beaucoup d'outils juridiques, potentiellement menaçants pour les internautes ... qui resteront bien sagement dans la boite à outils.

  • Loi HADOPI ... la dream team est en place

    Comme chaque jour, en surveillant le journal officiel, j’ai pû constater, comme un certain nombre de sites internet, que la liste des membres du collège et de la commission de la HADOPI avait été publiée hier au JO.

    Voici ce qu’en dit l’un d’eux www.numerama.com :

    " ... C'est le cadeau de noël fait à l'industrie culturelle. Le décret de nomination des membres du collège et de la commission de protection des droits de l'Hadopi a été publié au Journal Officiel le 26 décembre. C'est la première étape qui permet à la Haute Autorité pour la diffusion des œuvres et la protection des droits sur internet de ne plus être une coquille de vide, avant la publication des décrets qui cadreront son fonctionnement.

    Sont ainsi désignés membres titulaires du collège de l'HADOPI, chargés des fonctions de veille, de prospective et de régulation :

    • Par le Conseil d'Etat : Jean Musitelli, président de la très inutile Autorité de Régulation des Mesures Techniques (ARMT) qu'avait créée la loi DADVSI. L'ARMT devient l'Hadopi, ce qui fait de M. Musitelli un candidat tout désigné à sa présidence.
    • Par la Cour de cassation : Marie-Françoise Marais, membre de l'ARMT, conseiller à la cour de cassation chargée des affaires de droits d'auteur, elle est vice-présidente du Conseil Supérieur de la Propriété Littéraire et Artistique (CSPLA). Placé sous la tutelle du ministère de la Culture, le CSPLA avait dans un rapport rejeté l'idée que le téléchargement sur les réseaux P2P puisse être un acte de copie privée, plaidé pour la responsabilité pénale des éditeurs de logiciels de P2P, et pour un renforcement des DRM. A la cour de cassation, Mme Marais avait été rapporteur de la décision Mulholland Drive qui avait nié l'existence d'un droit à la copie privée opposable aux producteurs de DVD qui empêchent leur copie. L'arrêt de la plus haute juridiction avait, sous la plume de Mme Marais, estimé que le bénéfice de la copie privée devait être rejeté au  "regard des risques inhérents au nouvel environnement numérique quant à la sauvegarde des droits d'auteur et de l’importance économique (de) l’exploitation de l’oeuvre". Si Jean Musitelli n'est pas élu Président, Mme Marais est celle qui tient le mieux la corde en deuxième position.
    • Par la cour des comptes : Patrick Bouquet, lui aussi ancien membre de l'ARMT. Haut fonctionnaire de longue date, il avait été nommé selon Renaud Donnedieu de Vabres pour faire bénéficier l'ARMT de "son expertise économique mais également de sa connaissance du secteur des nouvelles technologies".
    • Par le CPLSA : Christine Maugüe, conseiller d'Etat. Elle avait été nommée en qualité de personnalité qualifiée au CSPLA en novembre 2009 en remplacement d'André Lucas, un professeur de droit de Nantes grand spécialiste des questions de propriété littéraire et artistique (il est l'auteur d'un traité de référence sur le sujet). Pour la petite histoire, M. Lucas qui a démissionné du CSPLA avait exprimé des vues favorables à la licence globale. Christine Maugüe est spécialiste de droit public économique.
    • Par les ministres en charge des communications électroniques, de la consommation et de la culture : Jean Berbineau, secrétaire général de l'ARMT. Il avait été le coauteur d'un rapport du CGTI (Conseil général des technologies de l'information) qui préconisait l'installation de spywares chez les internautes, ou encore la création de listes blanches de sites web sur les points d'accès WiFi publics. Il devrait logiquement devenir secrétaire général de l'Hadopi.
    • Par les ministres en charge des communications électroniques, de la consommation et de la culture : Chantal Jannet, une inconnue à nos yeux, à moins qu'il ne s'agisse de la même Chantal Jannet que la présidente de l'Union Féminine Civique et Sociale (UFCS), dont cette fiche biographique nous indique qu'elle est "petite-fille d'un ancien Président de la République".
    • Par les ministres en charge des communications électroniques, de la consommation et de la culture : Jacques Toubon, ancien ministre de la Culture, il a beaucoup oeuvré au Parlement Européen pour promouvoir la riposte graduée et s'opposer à l'amendement 138. Il en est récompensé, lui qui est aussi membre de la commission Zelnik sur l'amélioration de l'offre légale.
    • Par le président de l'Assemblée nationale : Frank Riester, rapporteur acharné des deux lois Hadopi, il a travaillé durement pour que l'Assemblée vote la création de l'Hadopi. On n'est jamais mieux servi que par soi-même.
    • Par le président du Sénat : Michel Thiollière, rapporteur au Sénat des deux lois Hadopi et de l'ancienne loi DADVSI qui avait créé l'ARMT. Lui aussi est remercié d'avoir fermé les yeux sur de nombreux points qui posaient problème dans la riposte graduée.

    Sont nommés membres titulaires de la commission de protection des droits, chargée de mettre en oeuvre la riposte graduée par le traitement des dossiers d'infractions présumées : Mireille Imbert-Quaretta (ancienne directrice de cabinet du ministère de la Justice, conseiller d'Etat spécialiste du droit pénal), Jean-Yves Monfort (président du TGI de Versailles) et Jacques Bille, conseiller à la cour des comptes.

    Ce dernier, professeur en marketing et communication, fut vice-président de l'Association des agences-conseils en communication. 

    Et ça tombe bien, faute sans doute de pouvoir aller jusqu'à l'étape finale de la condamnation devant un juge, l'HADOPI devra avant tout faire preuve de communication pour espérer faire peur aux internautes et justifier son existence ..."

  • Vote solennel de la loi Hadopi 2

    Le vote de la loi Hadopi 2 doit intervenir cet après-midi vers 16 heures 30.

    Conformément à toutes mes interventions sur le sujet, je voterai CONTRE ce texte.

    Retrouvez ci-dessous mon intervention en Discussion Générale lors de l'examen du texte le 21 juillet 2009.

    .
    Résultat du vote Hadopi 2 :
    .
    Votants = 527
    Exprimés = 510.
    POUR = 285
    Contre = 225

    30 voix de majorité seulement : ce n'est pas glorieux. Il a manqué 60 voix à la majorité pour faire le plein. Le signe évident que ce texte passe toujours aussi mal.
  • Hadopi 3, on prend les mêmes et on recommence

    La loi Hadopi 2 n'est pas encore votée qu'Hadopi 3 est déjà en route. Le Ministre de la Culture, Frédéric Mitterrand, a confié une mission au président de la maison de disque Naïve, Patrick Zelnik, une mission "pour améliorer l'offre légale en musique et en films sur internet".

    C'est là un aveu d'échec éclatant de tout le processus Hadopi, qui devait, à coté du volet sanctions, prendre des mesures destinées à favoriser l'offre légale. Et finalement, après deux moutures du texte, le ministre ressent le besoin de créer une commission pour trouver des moyens d'augmenter l'offre légale sur internet. Celà veut donc dire que Hadopi 1 et 2 n'ont strictement pas permis d'avancer sur le sujet.

    D'un côté on reproche aux internautes de pirater et de l'autre, on reconnait que l'offre légale est insuffisante : il aurait peut-être mieux valu inverser les choses, c'est à dire mettre en place une véritable offre légale (et non pas seulement quelques titres) avant de sanctionner ...

  • Mon intervention en DG sur le texte Hadopi 2

    Reprise de la DG (Discussion Générale) sur le texte Hadopi 2 à partir de 16 h 45.

     

    La DG précède l’examen des articles et des amendements. Elle permet aux députés qui le souhaitent, d’exprimer leur point de vue par rapport au texte en cours d’examen. Je suis intervenu à la tribune de l’hémicycle à 17 heures 23.

     

    Le texte de mon intervention :

     

    Monsieur le Président,

    Madame Le Ministre d'Etat,

    Monsieur le Ministre,

    Monsieur le rapporteur,

    Mes chers collègues,

     

    Le texte que nous examinons cette semaine me pose un certain nombre de problèmes. Bien qu'étant dans la majorité sans aucune ambiguïté, j'estime de mon devoir de parlementaire d'exprimer mon opinion et mes réserves sur un texte venant du gouvernement.

     

    Je ne reviendrai pas sur les aspects techniques, qui ont déjà fait l'objet d'amples débats lors de l'examen du texte Hadopi 1.

     

    Les problèmes sont toujours là et le texte sera toujours aussi inapplicable techniquement. Mais là n'est plus tellement le sujet.

     

    Ce nouveau texte suscite d'autres réserves, de nature constitutionnelles. J'ai une analyse qui peut ne pas être partagée par tous, mais il faut quand même reconnaitre que les remarques que j'avais formulé, avec d'autres députés, sur le texte hadopi 1 ont été validées par le conseil constitutionnel, dans sa décision du 10 juin 2009.

     

    Ce texte présente de gros problèmes, car sa finalité est de maintenir la logique du texte initial, tout en tenant compte de la décision du conseil constitutionnel, ce qui est intenable.

     

    Car la décision du conseil constitutionnel n'est pas seulement juridique, elle est également politique. Le conseil l'a clairement dit : l'Hadopi n'a qu'un rôle préalable à une procédure judiciaire, et en aucun cas, elle ne doit être chargée de prononcer ou de faire exécuter des sanctions. Une première porte a été fermée, que ce texte s'emploie à réouvrir.

     

    Une autre porte a été fermée, et à double tour, celle de la présomption de culpabilité de l'abonné en ce qui concerne la sécurisation de son accès à internet. Et pourtant, l'article 3bis rétablit, de manière implicite, cette présomption de culpabilité, qui est la seule manière de rendre opératoire le délit de non sécurisation de l'accès internet.

     

    Au passage, par une acrobatie juridique risquée, ce texte crée pour une série de contraventions, dont la liste n'est même pas close, une peine complémentaire qui est une atteinte à un droit que le conseil constitutionnel vient de reconnaitre comme constitutif de la liberté d'expression.

     

    Pour moi, le message du conseil constitutionnel est clair : on peut suspendre un accès à internet, mais pas n'importe comment et surtout, pas pour n'importe quoi.

     

    Ce texte n'a donc aucune chance, selon moi, d'être promulgué, car il se heurtera une seconde fois au cap du conseil constitutionnel.

     

    En tant que législateur soucieux de la qualité de la législation, cela me désole !

     

    Ce qui compte maintenant, c'est l'après Hadopi.

     

    Monsieur le Ministre, vous nous avez annoncé une grande concertation sur le financement de la création, et j'en suis heureux. On aurait d'ailleurs du commencer par celà !

     

    Monsieur le Ministre, je suis à votre disposition pour travailler sur le volet numérique de cette concertation. Nous sommes d'accord sur les bases : la propriété intellectuelle doit être respectée et internet n'est pas une zone de non-droit.

     

    Le vrai sujet, c'est comment arriver à mettre en oeuvre tout cela. Les épisodes DADVSI et Hadopi on clairement montré que vouloir faire plier la technologie pour la faire entrer dans les cases du droit est une voie sans issue.

     

    Les bouleversements technologiques apportés par internet nécessitent une adaptation de notre droit, dans beaucoup de domaines, et notamment dans le domaine de la propriété intellectuelle.

     

    Cela ne concerne pas que la musique et la vidéo, mais aussi les textes ! On sort donc du strict cadre des téléchargements.

     

    Aujourd'hui, deux conceptions de la propriété intellectuelle s'affrontent sur internet.

     

    La première est portée par les ayants droits, qui visent à maximiser leurs gains. C'est cette philosophie qui soutend les textes DADVSI et Hadopi.

     

    Le consommateur doit payer pour tout : acquérir l'oeuvre, mais aussi l'utiliser, et encore, dans des conditions restrictives. On lui demande sans cesse de passer à la caisse, avec sans cesse la menace de poursuites, rendues crédibles par le fait que sur internet, tout se voit, tout est repérable.

     

    C'est un frein à l'innovation et surtout, cela heurte les consommateurs et les utilisateurs, qui ont le sentiment d'être racketés.

     

    L'autre conception est celle qui est portée par certains internautes, et notamment le monde du logiciel libre, qui va dans le sens inverse.

     

    Cette conception s'est construite essentiellement sur la propriété intellectuelle en matière de logiciels. Elle n'est pas forcement parfaitement adaptée pour d'autres contenus.

     

    C'est le point de vue de l'ayant droit contre celui de l'utilisateur. Les deux positions sont légitimes et défendables et c'est à nous, politiques, de trouver un compromis acceptable pour tous.

     

    Voilà le vrai sujet, chers collègues. On mettra peut-être beaucoup de temps pour y arriver, mais on ne pourra faire l'économie de ce débat là. 

  • Fin de l'examen des amendements Hadopi 2 en commission EN DIRECT

    A loi exceptionnelle, dispositif exceptionnel ...

    Tout comme la semaine dernière je serai a nouveau connecté en direct à mon blog (si la salle le permet), lors de l'examen en commission des affaires culturelles des quelques 650 amendements qui restent à débattre, de 9 heures à 9 heures 30. Celà risque d'être de l'abattage ...

    Tous mes amendements ayant été examinés, celà me permettra de vous traduire EN DIRECT l'ambiance avant l'examen du texte Hadopi 2 en séance, à partir 9 heures 30, si tout se passe bien.

    JE VALIDERAI VOS COMMENTAIRES EN DIRECT, comme la semaine dernière.

    Lors la séance publique, vous pourrez suivre les débats en direct sur www.pcinpact.com ou sur www.numerama.com.

  • Hadopi 2, un texte rempli de malfaçons

    Après la censure de la partie essentielle de la loi Hadopi 1 par le Conseil Constitutionnel, le Gouvernement a présenté un deuxième projet de loi qui vient d'être adopté par le Sénat, avant d'être présenté à l'Assemblée le 21 juillet.

    Ce texte ayant été élaboré dans la précipitation, avec des ministres nouvellement nommés (qui découvrent ce texte une semaine avant son examen au Parlement), j'ai donc préféré ne pas m'exprimer jusqu'à présent, attendant son passage au Sénat pour voir quelle serait la position des ministres et des sénateurs sur le contenu et la manière dont ils entendaient en corriger les malfaçons.

    Je n'ai pas été déçu !!!

    Le texte initial était mauvais, il ressort encore pire du Sénat. Je vais donc proposer un certain nombre d'amendements pour rendre ce texte conforme à la Constitution et éviter (sans me faire d'illusion) l'humiliation d'une nouvelle censure du Conseil Constitutionnel, qui sera cette fois ci totale, si ce texte reste en l'état.

    Il serait dommageable pour le Parlement de ne pas être capable, pour la deuxième fois et sur un même texte, de produire une loi correctement écrite et applicable.

    Petit passage en revue des principaux problèmes :

    • Alors que dans le texte Hadopi 1, tout le monde était d'accord, y compris le rapporteur et la ministre, pour exclure la surveillance des courriers électroniques, voilà que nous retrouvons dans le texte hadopi 2 les termes "et de communications electroniques". J'avoue ne pas comprendre cette obstination, et visiblement, Franck Riester est, à titre personnel, sur la même position que moi, comme il l'a indiqué ce matin lors de notre débat sur BFM radio. Le texte tel qu'il est actuellement rédigé ouvre la voie à la surveillance des mails, ce qui serait une violation du secret des correspondances privées.
    • Alors que le Conseil constitutionnel avait clairement dit que le rôle de l'Hadopi était uniquement préparatoire à l'instance (considérant 28 de la décision du 10 juin 2009), plusieurs articles du projet Hadopi 2 entendent retirer au juge l'application des condamnations pour les confier à l'Hadopi. C'est ainsi l'Hadopi, selon le texte, qui notifiera aux FAI les suspensions, qui tiendra un fichier des suspendus, qui s'assurera que les peines ont bien été effectuées. C'est une violation flagrante du principe de séparation des pouvoirs. C'est à la justice de faire exécuter les peines qu'elle prononce.
    • L'article 1 du texte entend donner aux agents assermentés de l'Hadopi, qui est une police privée vouée à la défense d'intérêts privés, des pouvoirs de police judiciaire. Les PV des agents assermentés de l'Hadopi feraient foi et le juge serait obligé de s'appuyer sur eux, sauf à en contester la véracité, ce qu'il ne sera pas en mesure de faire, faute de temps et d'informations. On retire ainsi à la justice son rôle d'instruction, portant une nouvelle fois atteinte au principe de séparation des pouvoirs.
    • On retrouve intacts tous les problèmes techniques liés à la suspension de l'accès internet, notamment dans le cadre des offres triple-play. On nous remet aussi la double peine, celle qui consiste à faire payer l'abonnement par l'internaute pendant le temps de la suspension. Le Conseil Constitutionnel ne s'était pas prononcé sur le sujet lors de la première saisine, considérant qu'il en avait déjà fait assez et qu'il n'était pas nécessaire de continuer le massacre. Il va pouvoir sévir cette fois-ci ...
    • Les sénateurs ont réintroduit dans le texte la sanction de la non sécurisation de l'accès à internet, en permettant au juge de condamner le titulaire de l'abonnement qui aurait commis une "négligence grave" à une contravention de cinquième catégorie et une suspension de l'accès internet. C'est un véritable feu d'artifice d'inconstitutionnalité et d'inefficacité ! On arrive à ce résultat par le biais d'une acrobatie juridique assez inédite et culottée : le législateur ouvre la possibilité de prononcer une peine complémentaire pour, non pas une série de délits bien précis, mais pour toute une catégorie. Et en plus, le Gouvernement peut, par simple décret (c'est à dire sans passage devant le Parlement), allonger la liste. C'est une violation manifeste du principe constitutionnel de légalité des délits et des peines, qui exige que les sanctions et les peines soient établies par des textes clairs et précis. Mais c'est aussi une atteinte au principe de proportionnalité, qui veut que l'on ne sanctionne pas les petits délits par de lourdes peines. Or là, que voit-on ? On sanctionne une contravention, la plus petite catégorie d'infraction par une peine portant atteinte à une liberté fondamentale. Et en plus, cela ne sera même pas efficace, car sous peine de rétablir une présomption de culpabilité (censurée déjà une fois par le Conseil Constitutionnel), ce sera à l'hadopi de prouver qu'il y a eu négligence de l'abonné. Le simple fait que des téléchargements aient eu lieu après l'envoi de plusieurs avertissements n'est en aucun cas une preuve que l'abonné n'a rien fait ...
    • Alors que la ministre avait clairement affirmé le caractère pédagogique d'Hadopi 1, cet aspect disparait totalement dans Hadopi 2. Alors qu'il était clairement écrit dans Hadopi 1 que la non sécurisation de l'accès internet ne pouvait pas engager la responsabilité pénale de l'abonné, un article introduit par les sénateurs (l'article 3 ter) revient sur cela en permettant de sanctionner la non sécurisation par une amende pénale.
    • L'article 4, destiné à sanctionner les internautes qui se réabonneraient pendant leur période de suspension, sera totalement inefficace. Pour tomber sous le coup de cet article, il faudra que l'abonné se fasse à nouveau prendre par l'Hadopi pendant la durée de sa période de suspension. Autant dire qu'il a plus de chances de gagner au loto. C'est par ce genre de mesures que l'on discrédite la loi dans son ensemble.

    Voilà l'essentiel des critiques que je formule contre le texte Hadopi 2. J'ai alerté le cabinet de la garde des sceaux et l'Elysée, je n'ai eu absolument aucun retour, ce qui m'a beaucoup surpris et je dois le dire déçu.

    Je vais donc faire mon travail de parlementaire, dire ce que je pense de ce texte et voter en conséquence. Vous vous doutez bien que si mes propositions ne sont pas prises en compte, je voterai contre ce texte qui s'apparente de plus en plus a une voiture qui fonce droit dans le mur en klaxonnant (ou encore au Titanic naviguant plein gaz entre les icebergs, comme celà a été dit dans les débats).