Protection des données : la Cnil tape sur les doigts de Numericable
Pendant deux ans, un bug informatique a accusé un abonné de Numericable de contrefaçon et de faits de pédopornographie. A tort.
Dans le cadre de la lutte contre la contrefaçon sur Internet, les opérateurs télécoms ont obligation de transmettre à la Hadopi (Haute Autorité pour la diffusion des œuvres et la protection des droits sur Internet) les coordonnées de leurs abonnés accusés par les ayants-droits d’avoir téléchargé illégalement du contenu. Un système rodé qui rencontre parfois des couacs. Ce qui peut être très dommageable pour les utilisateurs.
Un abonné de Numericable en a fait les frais. Pendant près de deux ans, l’opérateur a communiqué ses coordonnées à l’Hadopi et aux services de police… à tort. Résultat, entre le 26 janvier et le 15 avril 2013 le client a été identifié 1 531 fois pour délit de contrefaçon, et a été inculpé 7 fois par les services de justice. Il a subi plusieurs enquêtes pénales dont l’une pour des faits de pédopornographie. Il a ainsi « fait l’objet de nombreuses perquisitions à son domicile et de plusieurs saisies de ses équipements informatiques », ajoute la Cnil (Commission nationale informatique et liberté) qui a été saisie de l’affaire par la Hadopi. Laquelle ne cessait, en toute logique, de porter plainte contre l’individu sur la base des renseignements fournis par Numericable.
Bavure informatique
En fait, l’abonné en question a été victime d’une bavure informatique. « L’enquête préliminaire […] a révélé que l’abonné avait été identifié par erreur par [Numericable] en raison d’un dysfonctionnement informatique récurrent », indique la Commission dans sa délibération du 1er mars 2016. L’enquête de la Cnil a permis de déterminer que l’erreur provenait de l’application chargée de transmettre automatiquement les coordonnées des clients aux différents requérants (Hadopi et services de police ou gendarmerie). Lorsque le logiciel ne parvenait pas à associer une adresse IP (attribuée par l’opérateur) à une adresse MAC (identifiant unique de la carte réseau de l’abonné), celui-ci ne générait pas une erreur, comme il aurait dû, mais renvoyait par défaut vers les équipements de quelques abonnés. Dont ceux de la victime ainsi identifiée plus de 1500 fois. Autrement dit, nombre de requêtes de l’Hadopi et des services de sécurité pour délits constatés faisait remonter les identifiants d’un seul individu. Au-delà des dommages et traumatismes causés à ce dernier, le bug du système informatique de Numericable a indirectement protégé les véritables auteurs des délits constatés.
Numericable a certes corrigé son application. Et avait même précisé avoir transmis à sept reprise, entre les 28 janvier et 11 février 2014, l’identité de l’abonné par erreur aux services de police. Ce qui n’a pas suffit pour convaincre la Cnil d’oublier l’affaire. Le gendarme des données personnelles n’a pu que constater le « manquement à l’obligation de veiller à l’exactitude des données à caractère personnel » de Numericable. Tout en reconnaissant l’existence du bug, l’opérateur a néanmoins tenté de se défausser en mettant en avant le volume considérable de demandes de l’Hadopi sans compensation financière, ce qui l’a contraint à automatiser le traitement des demandes… avec un logiciel mal fagoté qui a transmis de fausses informations pendant 21 mois. Il aura fallu l’insistance d’un service de police pour mettre le doigt sur le dysfonctionnement informatique.
Avertissement public
En conséquence, la Cnil a décidé de… prononcer un avertissement public à l’encontre de Numericable. La Commission justifie sa décision par « la nécessité de renforcer la vigilance des fournisseurs d’accès à Internet sur les données qu’ils transmettent aux autorités administratives et judicaires […], et de les sensibiliser aux conséquences préjudiciables qu’une transmission de données inexactes peut avoir sur leurs abonnés ». Une sanction pour l’exemple, donc, somme toute bien légère mais néanmoins dommageable pour l’image de marque de Numericable-SFR aujourd’hui.
Lire également
Données personnelles : Facebook tancé vertement par la CNIL
Loi Lemaire : la CNIL va-t-elle pouvoir montrer les crocs ?
Quiz Silicon.fr – La protection de la vie privée sur Internet
