En bonne entreprise technologique, Numericable a trouvé une solution pour automatiser une tâche ingrate: transmettre aux autorités (Hadopi, police, gendarmerie) les informations qui permettent d'identifier leurs clients. Sauf qu'un bug dans l'application développée par le fournisseur d'accès a transformé la vie d'un innocent abonné en calvaire, révélait hier la Commission nationale de l'Informatique et des libertés (CNIL), qui adresse un avertissement public à Numericable.Cet utilisateur a été identifié 1531 fois pour téléchargement illégal, dans le cadre du programme de riposte graduée de la Hadopi. Pire, il a été mis en cause dans plusieurs enquêtes pénales, y compris un cas de pédopornographie, qui ont entraîné des perquisitions à son domicile et plusieurs saisies de son matériel informatique . L'abonné a même été inculpé sept fois. Une situation qui a duré près de deux ans et aurait pu perdurer sans "l'insistance d'un service de police chargé d'une procédure pénale ouverte à l'encontre de l'abonné", précise la CNIL.Comment un bug aussi grave a-t-il pu se produire ? L'application permettait à Numericable d'associer automatiquement une adresse IP repérée sur Internet par les autorités à une adresse MAC (rien à voir avec les ordinateurs d'Apple), qui est unique à chaque ordinateur, et permet donc d'identifier un abonné. Mais il arrivait que le programme ne réussisse pas à réaliser cette association. Au lieu de renvoyer un message d'erreur, l'application associait ces adresses IP à "des adresses MAC composées uniquement d'une suite de zéros (00:00:00:00:00:00)", explique la CNIL. Mais ces suites de zéro correspondaient en fait aux adresses d'autres abonnés. Résultat: A chaque fois qu'une adresse IP ne pouvait être identifiée par le programme, il l'associait automatiquement à l'un de ces abonnés malchanceux.Numericable a reconnu l'existence du bug, qui aurait été découvert en septembre 2014, mais nie avoir manqué à ses obligations légales. L'entreprise rappelle qu'elle a corrigé le bug immédiatement après l'avoir découvert et estime qu'elle a respecté la loi à la lettre, puisqu'elle "consiste en une obligation de moyen et non de résultats". Autrement dit, Numericable serait seulement tenu de fournir des informations aux autorités, mais pas forcément des informations exactes… Un argumentaire qui n'a pas convaincu la CNIL. L'autorité de protection des données juge au contraire que les entreprises sont tenues de garantir l'exactitude des données personnelles qu'elles traitent, et pas seulement de faire de leur mieux pour que ce soit le cas.Les conséquences pour Numericable ne sont pas bien lourdes, puisque l'entreprise s'en sort avec un simple avertissement. La véritable sanction est que cet avertissement soit rendu public, car la CNIL ne communique pas forcément sur les dysfonctionnements qu'elle constate dans les entreprises, tant que celles-ci se montrent coopératives et veulent bien changer ce qui ne va pas. Mais à travers cette sanction, la CNIL a souhaité sensibiliser les fournisseurs d'accès à Internet "aux conséquences préjudiciables qu'une transmission de données inexactes peut avoir sur leurs abonnés."
Publicité