Qui ne connait pas Hadopi aujourd’hui ? Ce n’était pas gagné pourtant avec un tel acronyme barbare de naissance.
Maintenant ce n’est pas gagné non plus car, au-delà de toute argumentation rationnelle, c’est devenu un thème très « clivant » : les anciens contre les modernes, la gauche contre la droite, les défenseurs de la création artistique contre les défenseurs de la démocratie, les « majors » contre jeunes pousses de l’internet, et j’en passe…
L’intensité de la polémique est forcement réductrice et tend à masquer la multiplicité des questions que soulève la loi.
Car il y a plusieurs sujets dans Hadopi :
· Le mode de rétribution de la création artistique : à l’œuvre, à la consommation ou à la « licence globale »
· Le mode de coercition des droits artistiques : pénal (avec ou pas l’intervention d’un juge c’est à dire est-ce une procédure pénale contradictoire ou pas) ou administratif (via une autorité administrative avec ou pas délégation vers les Fournisseurs d’Accès Internet)
· Le droit à l’accès internet : est-ce que l’accès internet est un droit fondamental ? Dans ce cas doit-il faire l’objet d’un « service minimum » en cas de coupure Hadopi (notamment vers les sites de services publics)
· Les moyens d’investigation, la traçabilité des actions d’investigation et la protection des informations personnelles et là c’est la véritable boite de Pandore car ces points ne sont pas du tout appréhendés aujourd’hui et le régulateur n’a pas la capacité d’y répondre en l’état actuel.
Il me parait donc difficile de dire que c’est tout ou rien, à prendre ou à laisser. On ne peut avoir que des positions tactiques. On peut être contre Hadopi mais il faut alors proposer de mettre en place des moyens de protection de la création artistique. On peut aussi être pour Hadopi mais il faut expliquer comment on se positionne sur le droit à l’accès internet et comment on s’assure du respect de la protection des informations personnelles.
Le mode de rétribution de la création artistique est le cœur du problème (bien qu’il ne soit pas évoqué par la loi). Les éditeurs et les sociétés de droits forment le meilleur exemple d’une industrie qui a raté sa transformation à l’ère digitale. Ils n’ont pas accompagné l’évolution de leurs clients vers des nouveaux usages. L’absence puis le positionnement défensif de leurs offres légales a constitué la meilleure promotion des offres illégales jusqu’à faire de celles-ci l’état de fait du marché.
La licence globale constitue l’aboutissement ultime de cette progression vers l’abandon et la déresponsabilisation. Car qu’est-ce que la licence globale au final ? C’est la socialisation des pertes de l’industrie dans la même logique que celle qui a été mise en œuvre avec les banques. On est désolé. On n’a pas su gérer le problème. Maintenant il est trop tard, c’est devenu irréparable. On abdique toute responsabilité et on s’en remet à l’Etat pour trouver une solution.
La licence globale c’est une solution fiscale : on ne sait pas qui faire payer, comment le faire, ni pourquoi alors on taxe toute la collectivité.
Le problème c’est que cela n’est pas juste et est anti-économique.
Ce n’est pas juste car c’est au détriment du bien public (à moins que l’accès aux œuvres artistiques puisse être considéré comme un droit constitutionnel).
C’est anti-économique car cela ne récompense absolument pas ceux qui ont développé de nouvelles offres et de nouveaux modes de facturation (à la consommation, par forfait, différenciés selon différents scénarios d’usage,…) pour s’adapter aux mutations de l’industrie. Au final, ce seront ceux qui ont fait les plus gros efforts d’adaptation qui seront pénalisés puisque tout le monde recevra la même part de la dîme de la licence globale.
La licence globale amène aussi avec elle toutes les pathologies de la rente :
· L’absence de dynamique de concurrence et d’innovation (puisque cela ne sert à rien)
· L’immobilisme des positions acquises (que l’on m’explique comment, dans un tel système, il est possible que la répartition des revenus se fasse au bénéfice des nouveaux artistes)
· L’insidieuse dynamique fiscale de toujours chercher à augmenter la base taxable et les taux de taxation (puisque comprendre les usages réels ne sert plus à rien).
Si être contre Hadopi, c’est être pour la licence globale. Alors je ne peux pas être contre Hadopi.
Il faut protéger la création artistique mais en l’adaptant aux nouveaux usages digitaux. Et donc en favorisant le développement de nouveaux modèles économiques plus différenciés, plus basés sur la consommation, sur la rétribution de l’œuvre dans son cycle de vie et non plus seulement sur un acte d’achat unique indépendant de tout contexte.
Donc il faut protéger. Mais comment protéger ?
Deux modèles sont possibles :
· Le modèle pénal, respectueux des droits personnels mais peu efficace pour des transactions de masse
· Le modèle administratif ou de délégation (à des acteurs « mercenaires » intéressés aux résultats) beaucoup plus efficace mais généralement peu respectueux des droits personnels.
Quand je dis peu respectueux des droits personnels, ce n’est pas un jugement de valeur. Je ne pense pas que les éditeurs de contenus et les sociétés de droits artistiques soient fondamentalement des sympathisants du Watergate. Le problème c’est qu’ils vont développer et utiliser des outils technologiques pour leurs fins sans véritablement avoir une « conscience technologique » ni les capacités technologiques de contrôler ces outils.
Ce type de problème se pose déjà pour les données collectées par Google ou par d’autres grands acteurs de l’internet mais, dans le cas d’Hadopi, on va directement coupler :
· Des outils de surveillance et d’espionnage dont l’extensibilité n’est pas limitée a priori
· Des capacités de stockage dans le temps et de croisement des données personnelles
· Des moyens coercitifs automatisés.
Il est difficile de croire que des acteurs qui ont montré par le passé leur absence de compréhension des enjeux technologiques soient susceptibles de s’autoréguler dans le domaine alors que les acteurs les plus en pointe sur le sujet, tel que Google, ont du mal à forger une doctrine d’action claire.
Cela ne se voit pas encore car la loi est toute fraiche et aucune étude d’impact n’a été réalisée (je croyais pourtant que cela devait être généralisé dans le cadre de la réforme du processus parlementaire ?) mais son application ne pourra se faire en l’état.
Le concept d’autorité réglementaire indépendante est quelque chose de relativement nouveau en France que nous n’avons pas l’habitude de manier. Les premières mises en place ont connu quelques tâtonnements avant que le juge ne leur rappelle que le respect des principes constitutionnels s’appliquait aussi à elles. Il est probable que l’Hadopi (Haute Autorité pour la Diffusion des Œuvres et la Protection des Droits sur Internet) en passe par cette phase de « tâtonnement », d’autant plus qu’elle commence constitutionnellement très fort (Sur le principe de séparation de l’instruction et du jugement, sur le caractère contradictoire de la procédure, sur le renversement de la charge de la preuve, sur la double peine,…).
L’Hadopi sera soumise à la loi et donc à la CNIL. En l’état et par rapport à mes remarques précédentes, je ne vois pas comment l’Hadopi sera capable de satisfaire les critères de contrôle de la CNIL.
Je passe sous silence les problèmes d’enlisement technologique qui ne manqueront pas de se manifester :
· Sur les dispositifs de contrôle à mettre en place au niveau des utilisateurs (surtout que les députés dans leur grande ignorance de la chose ont opté pour une vision élargie de la chose incluant par exemple les messageries électroniques)
· Sur l’adaptation des infrastructures des Fournisseurs d’Accès Internet (on parle de 100 millions d’euros, c’est loin d’être neutre !).
· Sur la sécurisation du non détournement de la procédure (une autorisation légale d’espionnage, il n’y a rien de plus tentant à détourner pour un pirate).
L’enfer est dans les détails et le feuilleton n’en n’est qu’à ses premiers épisodes.
Quel est le problème de fond du contrôle des données ?
Il est tout à fait légitime que certaines communications ou certaines informations puissent être accédées par les autorités par exemple dans les cas de terrorisme, de banditisme, de détournement fiscal…ou de piratage des droits artistiques. Mais la technologie rend potentiellement possible de contrôler tout ou une grande partie des transactions effectuées. Cela change complètement les termes du problème. D’une recherche active de l’infraction on passe à une détection systématique de tout ce qui est suspect. Et tout le monde devient suspect car on aura toujours la capacité à trouver quelque chose en croisant toutes les données. La règle des « 6 degrés » édicte que nous ne sommes jamais éloignés de plus de 6 personnes en relation de toutes les autres personnes du monde. Une lecture inverse, qui pourrait être celle de la NSA (l’agence de sécurité américaine), c’est que chacun de nous n’est jamais à plus de 6 personnes intermédiaires de Oussama Ben Laden…et mérite en conséquence d’être surveillé !
La mise en place de règles de contrôle globales (sur le temps de conservation des données, les possibilités de croisement,…) constitue un aspect de la solution. Mais fondamentalement, seul un contrôle individuel peut garantir le respect des données personnelles. Un contrôle individuel, c’est la possibilité pour chaque individu d’accéder à l’historique de toutes les données collectées sur lui, d’en demander la justification, d’en connaître et d’en restreindre l’utilisation et de faire corriger des éléments erronés. Cela ne veut pas dire pouvoir s’opposer à la collecte des données ni en être averti lorsqu’elle est effectuée (il est évident que prévenir des malfaiteurs qu’ils sont espionnés fait perdre tout intérêt à la chose). Cela veut dire conserver une trace de toute information collectée pour chaque individu concerné et pouvoir, a posteriori, les analyser pour détecter des utilisations abusives et pouvoir exercer un droit de rectification. Dans l’exemple des malfaiteurs espionnés, ce droit a posteriori ne leur sera pas très utile une fois condamnés. Par contre, il fera réfléchir toute officine allant « à la pêche » plutôt qu’ayant une démarche de collecte structurée et explicite.
Les maîtres mots sont : traçabilité, consultabilité, réfutabilité/rectificabilité.
Je rêve que Google me propose de pouvoir le faire sur mes logs.
Je considère comme indispensable qu’Hadopi me le permette.
Et le stade d’après, c’est de pouvoir mettre en place des règles individuelles exécutées de manière automatiques sur mes données dans les systèmes qui les collectent afin d’en assurer un contrôle continu.
Il y a encore beaucoup de chemin à parcourir…
Ce sujet du contrôle des données ne relève pas de la science fiction. Car toute action entraine réaction. Si l’on se met à espionner en masse sans aucun contrôle les internautes, ne doutons pas une seule seconde que des réponses se développeront (cryptage, VPN, masquage,…). C’est ce qui a freiné l’adoption de réglementation de ce type au USA sous l’influence de la NSA qui veut continuer à écouter un internet non chiffré (le billet original mentionnant ce point sur le (très bon) blog sécurité d’Orange Business a été remplacé – un effet de psychose suite à l’affaire Bourreau probablement).
Hadopi soulève aussi un dernier point : L’accès à internet est-il un droit ? Peut-on couper la connexion internet en maintenant le téléphone et la télévision, voire en maintenant l’accès à certains services publics ou d’urgence ?
Là encore, cette question nous entraine très loin. Aujourd’hui les flux qui parcourent internet sont indistincts. Les pages html, les vidéos, les mails, la voix sur IP sont mélangés et difficilement séparables. Cela fonde la « neutralité d’internet », sujet central du débat aux USA.
Les opérateurs rêvent d’un autre internet où existeraient des « classes de services » qui permettrait d’affecter des niveaux de services en fonction des types de flux. Par exemple, un flux vidéo ou un flux VOIP serait prioritaire sur un flux de page html ou sur un mail ou inversement (les opérateurs cherchent plutôt, à l’inverse, à réduire la priorité sur les services très consommateurs de bande passante tel que les sites de streaming video).
Ces classes de service seraient parfaites pour gérer les contraintes du droit d’accès à internet et de ses restrictions « à la Hadopi ». Le seul problème, c’est que cela existe sur les infrastructures « backbone » des opérateurs mais pas jusqu’à l’utilisateur final. Et sa généralisation à court terme ferait d’Hadopi un nouveau plan calcul…
Pour conclure, je dirai qu’Hadopi travaille pour le moment au niveau du symbole. On en attend un « effet radar » qui a changé radicalement les comportements en contrepartie de déploiements relativement modestes. Cela peut marcher mais il va falloir être très discret (ou très malin) sur son application concrète car l’autre mérite de la loi c’est d’ouvrir beaucoup de questions que l’on ne s’étaient pas posées précédemment mais qui vont nécessiter réponses.
Un autre point qu’Hadopi met en exergue, c’est que nous n’avons pas de conscience technologique au sommet de l’Etat en France. Il n’y a pas l’équivalent du « Chief Technology Officer » présent au coté d’Obama aux USA. Et notre président n’utilise pas d’ordinateur…