Pour tester son prestataire courriers, la Hadopi va s’auto-menacer
La menace fantôme
Nous avons eu de nouveaux détails sur le marché public de la Hadopi relatif au traitement des courriers. Rappelons que la Hadopi a lancé en avril un marché pour gérer en nombre les lettres remises contre signature dans le cadre des phases d’avertissements. L'opération sera source d'économie d'échelle pour l'autorité administrative, qui sait dans le même temps qu'elle sera risquée techniquement.
À partir du deuxième avertissement, la Hadopi ne peut plus se contenter des emails. Elle doit adresser ses recommandations par lettre « remise contre signature » (article R.331 - 40 du CPI). En cas de nouveau flashage de l’IP dans les 12 mois, la Hadopi peut transmettre le dossier au procureur de la République après avoir adressé à l’abonné une autre lettre remise contre signature. Elle vise à recueillir ses observations et le notifier que ces faits sont susceptibles de poursuites pénales.
Des vagues de 1000 courriers tous les trois jours
Problème, envoyer des lettres contre signature n’est pas neutre économiquement. La Hadopi a déjà adressé plus de 150 000 lettres de ce type, selon le dernier pointage. Elle monte actuellement en puissance épaulée par un système d’information capable de traiter l’ensemble des 125 000 dénonciations par jour adressées (ou adressables) par les cinq organisations d'ayants droit.
En quête d’économie d’échelle, la Rue de Texel a donc lancé un marché pour un montant maximal de 330 000 euros. D'une durée d'un an, non renouvelable, il vise à confier à un tiers ces opérations. Edition, mise sous pli, envoi, rapport à la Commission de protection des droits, tout est programmé.
Quel volume ? Dans des documents que nous nous sommes procurés, la Hadopi programme des vagues d’envois tous les deux à trois jours ouvrés. Chaque « envoi contient un ou plusieurs fichiers (PDF) cryptés comprenant chacun au maximum 1000 courriers. » A compter de la réception, le titulaire du marché devra alors d’expédier les lettres remises contre signature dans un délai de trois jours ouvrés maximum. Des milliers de courriers pourront donc partir chaque jour de ce prestataire, si les maximums sont atteints.
L'obligation de sécurisation du prestataire
Sur le terrain de la sécurisation, L’échange des données se fera par canal sécurisé avec le système d’information de la Commission de Protection des Droits (VPN). Les données personnelles seront en outre chiffrées histoire de limiter les risques fâcheux.
L’appel à un prestataire extérieur est en effet source d’inquiétudes pour la Hadopi. La Haute autorité lui demande ainsi de s’engager « à mettre en œuvre les mesures techniques et organisationnelles appropriées pour protéger les données à caractère personnel reçues ou collectées (…) contre une destruction accidentelle ou illicite, une perte accidentelle, une altération, une divulgation ou un accès non autorisé, et contre toute autre forme illégale de traitement ». Elle lui réclame aussi de tout faire pour empêcher les intrusions non autorisées « que ce soit sur son système automatisé de traitement de données dédiées à l’HADOPI (et) sur les équipements intermédiaires assurant l’interconnexion avec le Système d’Information de la Hadopi. »
Ce n’est pas tout. « De manière globale, le titulaire veillera à contrer tout type d’attaque ayant pour but l’intrusion dans le système d’information de la HADOPI par l’intermédiaire de son système d’information et la fuite des données transmises au titulaire pour traitement ». Les fichiers importants du système cible de l’Hadopi « ne devront en aucune manière pouvoir être consultés ou exportés en clair » et « le déchiffrement des fichiers et l’intégration des fichiers dans le système de gestion de courrier doivent s’opérer de manière entièrement automatisée. »
Obligation de confidentialité, algorithmes de chiffrement, gestion des clés sécurisée et mise à jour permanente des logiciels et matériels des derniers correctifs de sécurité sont encore au programme.
Audit annoncé 10 jours avant, lettres piégées
La Hadopi s’octroie évidemment un pouvoir d’audit dans les tréfonds du titulaire de ce marché, L’effet de surprise sera assez limité puisque « l’Hadopi préviendra des audits 10 jours ouvrés à l’avance ». Elle pourra aussi exercer un contrôle pour se faire remettre tous les éléments jugés utiles.
Elle avertit enfin son futur cocontractant : elle va s’adresser des lettres témoins en se dénonçant elle-même dans le flux des milliers de données adressées : « L’Hadopi se réserve la possibilité de réaliser des contrôles afin de vérifier la bonne exécution des prestations par le titulaire, l’effectivité et l’efficacité de ses moyens de contrôle, de suivi ou de reporting, en procédant par tout moyen et, notamment le cas échéant, en insérant dans les fichiers envoyés au titulaire et contenant les lettres remises contre signature à envoyer, des « lettres témoins » dont elle sera destinataire ».
Commentaires (23)
Vous devez être abonné pour pouvoir commenter.
Déjà abonné ? Se connecter
Abonnez-vousLe 04/05/2013 à 11h26
MDR
" />
Le 04/05/2013 à 11h30
Le 04/05/2013 à 12h05
Le 04/05/2013 à 12h46
Le 04/05/2013 à 13h36
Le 04/05/2013 à 15h05
Les audits surprises ça n’existent pas. Y a toujours quelqu’un qui sait à l’avance. Vécu dans le pharma.
" />
Le 04/05/2013 à 16h13
C’est pas leurs sous donc… Peuvent aussi envoyer un chevalier en armure pour faire signer leurs recommandés.
" />
Les fans de The Game Of Thrones vont kiffer
Le 04/05/2013 à 18h53
Encore là eux?
Elle se fait attendre leur abrogation sociétale.
Le 04/05/2013 à 20h21
Le 04/05/2013 à 20h23
Le 05/05/2013 à 06h49
Elle lui réclame aussi de tout faire pour empêcher les intrusions non autorisées « que ce soit sur son système automatisé de traitement de données dédiées à l’HADOPI (et) sur les équipements intermédiaires assurant l’interconnexion avec le Système d’Information de la Hadopi. »
Elle va lui conseiller d’installer un antivirus?
Le 05/05/2013 à 16h50
Le 05/05/2013 à 22h04
Le 04/05/2013 à 10h25
La Hadopi s’octroie évidemment un pouvoir d’audit dans les tréfonds du titulaire de ce marché, L’effet de surprise sera assez limité puisque « l’Hadopi préviendra des audits 10 jours ouvrés à l’avance ». Elle pourra aussi exercer un contrôle pour se faire remettre tous les éléments jugés utiles.
Ca me rappelle lorsque je bossais chez Mc Do quand j’étais étudiant. On était prévenu d’un contrôle un peu à l’avance et ça se passait généralement pas mal dans notre restaurant.
Le 04/05/2013 à 10h27
Comme quand la prof en primaire vous disait “restez tranquille aujourd’hui, il y a un inspecteur”
… du pipi de chat ces contrôles.
Le 04/05/2013 à 10h35
L’échange des données se fera par canal sécurisé avec le système d’information de la Commission de Protection des Droits (VPN).
Comme quoi ca sert a quelque chose ces VPN …
Le 04/05/2013 à 10h38
S’ils pouvaient se couper leur accès internet aussi
" />
Le 04/05/2013 à 10h45
Le 04/05/2013 à 10h51
Le 04/05/2013 à 11h01
Perso dans ma boite on a des visits de clients a l’occaz, et bien en france on etait prevenu pour que tout soi nickel chrome, les boss passaient pour verifier etc….. Aujourd’hui dans la meme boite mais au royaume uni on sait le lendemain, voir en voyant le client qu’il y a une visite…
Franchement suffit de faire son taf proprement et il n’y a pas de soucis, j’aimerais bien avoir la reaction du prestataire en question.
Le 04/05/2013 à 11h04
la Hadopi qui s’auto-spam…
" />
" />
" />
Bon elle s’automenace…. moi je dit qu’elle doit s’auto condamner… avec une sentence exemplaire : coupure de son accès internet
Le 04/05/2013 à 11h07
Petit HS : Je peut les poursuivre pour espionnage et atteinte a la vie privée?
Le 04/05/2013 à 11h10