HADOPI observations gouv saisine securisation de lacces exoneration

extrait de

http://www.conseil-constitutionnel.fr/conseil-constitutionnel/francais/les-decisions/2009/decisions-par-date/2009/2009-580-dc/observations-du-gouvernement.42691.html

3/ Sur le régime de responsabilité de l'abonné auquel est reproché un défaut de surveillance.

Les auteurs de la saisine font grief à l'article 5 de la loi déférée de méconnaître le principe de la présomption d'innocence en instaurant un mécanisme de présomption irréfragable de manquement à l'obligation de surveillance par la simple constatation qu'une atteinte aux droits d'auteur ou aux droits voisins a été repérée à partir de l'adresse IP du titulaire de l'abonnement à Internet.

Tels ne sont pourtant ni l'objet ni l'effet de cet article.

Ainsi qu'il a été dit, avec l'intervention de la loi déférée, coexisteront désormais deux infractions parfaitement autonomes : d'une part, le délit de contrefaçon ou de violation des droits voisins, imputable à celui qui a méconnu les droits de propriété littéraire et artistique, par exemple en mettant à disposition ou en téléchargeant illégalement des œuvres ; d'autre part, le manquement à l'obligation de surveillance définie par le nouvel article L. 336-3 du CPI, qui est le fait de l'abonné sur lequel repose cette obligation. Il n'existe ainsi aucun lien nécessaire entre les auteurs de chacune des deux infractions, qui peuvent être ou non la même personne.

Il n'en reste pas moins vrai que c'est bien l'existence d'un acte délictueux commis à partir de l'accès Internet qui fait présumer l'existence d'un défaut de surveillance de cet accès et un éventuel manquement de la part de l'abonné. Dès lors que l'obligation de surveillance repose sur le seul abonné, le manquement à cette obligation n'est donc imputable qu'à lui seul.

Mais la loi n'en a pas pour autant bâti le régime de présomption de culpabilité que croient y déceler les auteurs de la saisine.

L'article L. 336-3 prévoit en effet trois causes exonératoires de responsabilité, limitatives et alternatives, qui permettent de préserver à la fois le principe de responsabilité personnelle et celui de la présomption d'innocence.

La première cause d'exonération sera la démonstration de la mise en œuvre de l'un des moyens de sécurisation de l'accès Internet figurant sur la liste qui sera publiée par la Haute Autorité en application de l'article L. 331-23 du CPI.

Il convient de remarquer que sont d'ores et déjà disponibles, gratuitement ou à très faible coût, des moyens techniques permettant d'avoir recours à cette cause exonératoire de responsabilité.

La sécurisation des réseaux wi-fi est très aisément réalisable par l'activation de différentes clés numériques, qui sont l'équivalent d'un mot de passe dans un système de contrôle d'accès. Deux types de clés peuvent être alternativement utilisés à ce jour : la clé WEP et la clé WPA. Depuis plusieurs années, ces clés sont utilisables par tous les routeurs Wi-Fi du marché et notamment les boîtiers de connexion. Plusieurs fournisseurs d'accès à Internet livrent, d'ores et déjà, leurs boîtiers avec des clés de sécurisation activées par défaut.

La clé WEP (Wired Equivalent Privacy) utilise un algorithme de chiffrement basique pour sécuriser l'accès au réseau wi-fi et fournit un niveau de sécurité qui fait obstacle à toute intrusion d'un internaute ordinaire. La clé WPA (Wi-Fi Protected Access) ou, mieux encore, WPA-2, présente un niveau de fiabilité renforcé par rapport à la clé WEP. Il est à peu près impossible d'en déchiffrer le code, sauf à mobiliser de solides connaissances en informatique.

Dès maintenant, et en tout cas avant la mise en œuvre du régime de sanction proprement dit, la sélection des équipements par la technique dite de l'adresse MAC (pour Media Access Control) permettra de subordonner la connexion d'un ordinateur au réseau wi-fi à leur enregistrement préalable par l'abonné.

Quant aux ordinateurs eux-mêmes, il n'est guère difficile de procéder à une surveillance, par l'abonné lui-même, de leur utilisation. Il suffit pour cela d'y installer un logiciel équivalent aux logiciels de contrôle parental aujourd'hui fournis gratuitement par la plupart des fournisseurs d'accès, dont le paramétrage, afin de faire obstacle à l'utilisation des logiciels nécessaires pour procéder aux échanges de pair-à-pair, est d'ores et déjà possible, sans préjudice de développements ultérieurs destinés à répondre plus spécifiquement aux besoins nés de l'application de la loi déférée. Les logiciels de type pare-feu, dont l'usage s'est répandu aussi bien dans les entreprises que chez les particuliers, permettent eux aussi, pour un coût très modique, d'accéder au même type de sécurisation.

Au surplus, il convient de garder à l'esprit que le V de l'article 19 de la loi déférée prévoit une mise en œuvre différée du régime de sanction. Le Gouvernement va mettre à profit ce délai pour convaincre les fournisseurs d'accès à Internet de fournir par défaut, dans le cadre de leur offre de services, une possibilité conjointe de sécurisation du réseau et des contenus transmissibles par les postes dès installation de sa " box " par l'abonné.

Il va de soi que la démonstration qu'un moyen de sécurisation a été utilisé pourra être effectuée par tout moyen (courriel reçu de la part du fournisseur d'accès, relevé d'état du système, attestation du gestionnaire de pare-feu...) et qu'elle ne portera que sur l'installation d'un tel système et pas sur la preuve que celui-ci aurait été activé à tout instant.

Si l'objectif d'incitation à la protection poursuivi par la loi est rempli, la deuxième cause d'exonération devrait devenir résiduelle. Elle prévoit que la responsabilité de l'abonné ne peut être engagée si l'atteinte au droit d'auteur ou au droit voisin est le fait d'une personne qui a frauduleusement utilisé l'accès à Internet de l'abonné. Dans ce cas comme dans le premier, l'administration de la preuve pourra être réalisée selon les mêmes modalités qu'actuellement devant le juge, dans le cadre des actions civiles ou pénales, c'est-à-dire par tous moyens.

Il sera par exemple possible à l'abonné de produire le dépôt d'une plainte pour intrusion à son domicile, ou tout élément établissant son absence à l'heure où l'acte incriminé a été constaté. Mais le Gouvernement est aussi d'avis qu'il sera également possible à l'abonné, à défaut d'autre élément probant à sa disposition, de se borner à produire une attestation sur l'honneur déclinant sa responsabilité, sous réserve de l'éventuel engagement de poursuites pénales en cas de mensonge.

Enfin, la force majeure, troisième cas d'exonération, vise un fait imprévisible, irrésistible et extérieur. L'hypothèse d'une attaque généralisée d'un réseau par des " hackers ", ou encore d'une pression morale ou physique exercée sur l'abonné, pourrait en relever.

Au total, le lien entre le constat d'un acte de piratage réalisé à partir de l'accès Internet de l'abonné et l'existence d'un manquement de celui-ci à son obligation de surveillance relève de la présomption simple, assortie de trois cas d'exonération susceptibles d'être aisément mis en oeuvre. Le grief soulevé par la saisine, ne saurait, dans ces conditions, être retenu.

Voir aussi Decision_conseil_constitutionnel_10_juin_2009