Comme nous l’indiquions dimanche matin dans une première analyse, le décret qui définit la procédure de labellisation des moyens de sécurisation par l’Hadopi a été publié au Journal Officiel. Les labels pourront être attribués lorsque la Haute Autorité aura publié la liste des fonctionnalités pertinentes que les logiciels de filtrage doivent revêtir, ce qui selon nos informations ne devrait pas être le cas avant encore plusieurs mois. Les éditeurs devront faire établir un rapport d’évaluation par un centre agréé par l’Agence nationale de la sécurité des systèmes d’information (ANSSI), et l’Hadopi délivrera le label en fonction des conclusions.
Il est donc intéressant de comparer le décret n° 2010-1630 du 23 décembre 2010, relatif aux labels de l’Hadopi, avec le décret n°2001-492 du 18 avril 2002, qui vise plus largement « l’évaluation et la certification de la sécurité offerte par les produits et les systèmes des technologies de l’information ». En principe, tous les labels délivrés par l’Etat aux logiciels de sécurité sont attribués par l’ANSSI, selon une procédure définie par le décret de 2002, via des centres agréés. Mais l’Hadopi fait exception puisque c’est elle, et non l’ANSSI, qui délivrera les labels aux logiciels de filtrage qu’elle suggère fortement d’installer lorsqu’elle avertit les internautes soupçonnés d’avoir illégalement mis à disposition des œuvres sur les réseaux P2P.
Or on remarque des différences notables entre les deux procédures, qui ne sont pas indifférentes sur le fond. Ainsi par exemple, sous la procédure standard, il est spécifié que l’ANSSI « veille à la bonne exécution des travaux d’évaluation » et « peut à tout moment demander à assister à ces travaux ou à obtenir des informations sur leur déroulement« . Ca n’est pas le cas avec le label de l’Hadopi, qui n’a aucun pouvoir de contrôle sur la manière dont le rapport est établi – cela alors même que l’éditeur choisit lui-même son centre d’évaluation, ce qui place ce dernier dans une situation de dépendance économique. Le décret de 2002 dit à ce propos que le demandeur du label et l’ANSSI « valident les rapports d’évaluation en liaison avec le centre d’évaluation intervenant« , ce qui n’est pas le cas de l’Hadopi qui se contente de réceptionner le rapport, et d’en étudier les conclusions, sans discussion tripartite.
Beaucoup plus grave. Comme nous le notions hier, le décret sur le label Hadopi dit que le rapport rédigé par le centre d’évaluation « revêt un caractère confidentiel« . Le label sera ainsi incontestable, puisque les arguments techniques qui ont permis de l’accorder ou de le rejeter ne sont pas publics. Or la procédure classique prévue par le décret de 2002 aurait été plus rassurante, si elle avait été imitée par le décret Hadopi. Car si le texte de 2002 dispose lui aussi que le rapport du centre d’évaluation est confidentiel, il prévoit en revanche que « lorsque l’ensemble des rapports prévus a été validé, l’Agence nationale de la sécurité des systèmes d’information élabore un rapport de certification dans un délai d’un mois« , lequel n’est pas couvert par le secret. Ce rapport, contestable devant les tribunaux, « précise les caractéristiques des objectifs de sécurité proposés, conclut soit à la délivrance d’un certificat, soit au refus de la certification« .
Un tel rapport interne n’est pas prévu pour l’Hadopi, alors-même que le décret de 2002 dit qu’il « peut comporter tout avertissement que ses rédacteurs estiment utile de mentionner pour des raisons de sécurité« . Ca n’est comme si l’on parlait d’un logiciel espion imposé à des millions d’abonnés à Internet…
Enfin, la procédure normale de l’ANSSI prévoit que la certification remise « atteste que l’exemplaire du produit ou du système soumis à évaluation répond aux caractéristiques de sécurité spécifiées« , et « atteste également que l’évaluation a été conduite conformément aux règles et normes en vigueur, avec la compétence et l’impartialité requises« . Il y a une double attestation, qui engage la responsabilité du Premier ministre lorsqu’il délivre la certification, via l’ANSSI.
Or le décret publié dimanche est beaucoup plus laxiste avec l’Hadopi, qui n’atteste de rien, mais « délivre » simplement le label « lorsqu’elle estime établi, au vu du rapport d’évaluation, que ce moyen est efficace et conforme aux spécifications fonctionnelles qu’elle a rendu publiques« . On fait difficilement plus prudent…
+ rapide, + pratique, + exclusif
Zéro publicité, fonctions avancées de lecture, articles résumés par l'I.A, contenus exclusifs et plus encore.
Découvrez les nombreux avantages de Numerama+.
Vous avez lu 0 articles sur Numerama ce mois-ci
Tout le monde n'a pas les moyens de payer pour l'information.
C'est pourquoi nous maintenons notre journalisme ouvert à tous.
Mais si vous le pouvez,
voici trois bonnes raisons de soutenir notre travail :
- 1 Numerama+ contribue à offrir une expérience gratuite à tous les lecteurs de Numerama.
- 2 Vous profiterez d'une lecture sans publicité, de nombreuses fonctions avancées de lecture et des contenus exclusifs.
- 3 Aider Numerama dans sa mission : comprendre le présent pour anticiper l'avenir.
Si vous croyez en un web gratuit et à une information de qualité accessible au plus grand nombre, rejoignez Numerama+.
Abonnez-vous gratuitement à Artificielles, notre newsletter sur l’IA, conçue par des IA, vérifiée par Numerama !