La CNIL épingle Numericable pour une grosse bévue vis-à-vis d'un client

Une erreur informatique qui dure deux ans en vous mettant en cause pour des délits aussi graves que la pédopornographie : tel est le calvaire qu'a subi un abonné de Numericable (filiale d'Altice, également actionnaire de BFMbusiness). L'opérateur vient d'être sanctionné d'un avertissement rendu public par la CNIL pour avoir désigné à tort un abonné à l'Hadopi et à la police. Celles-ci l'avaient ensuite mis en cause pour contrefaçon et dans plusieurs enquêtes pénales, notamment pour pédopornographie.

"Identifié 1 531 fois pour délit de contrefaçon et inculpé 7 fois, cet abonné a en outre fait l’objet de nombreuses perquisitions à son domicile et de plusieurs saisies de ses équipements informatiques" explique la Commission.

A l'origine de ce dysfonctionnement figure une application informatique mise en place par Numericable. Elle traite de manière automatisée les demandes d'identification d'un abonné formulées par la Haute Autorité pour la diffusion des oeuvres et la protection des droits sur Internet (Hadopi) ou des services de police ou de gendarmerie.

Une erreur informatique à l'origine du problème

Problème, lorsque l'application informatique ne parvenait pas à identifier l'utilisateur du matériel, elle ne générait pas un message d'erreur mais renvoyait sur une autre adresse, composée d'une suite de zéros, qui correspondait aux équipements d'autres abonnés dont celui incriminé à tort. 

Sur la base de cette fausse information, Hadopi a porté plainte contre cet abonné pour "contrefaçon". Numericable a également transmis par erreur en 2014 à sept reprises l'identité de cet abonné à des services de police et de gendarmerie en réponse à des réquisitions judiciaires. C'est une enquête préliminaire du parquet qui avait révélé l'erreur d'identification.

Au vu de ces éléments mettant en cause l'opérateur, le gendarme d'internet a prononcé un avertissement à l'encontre de Numericable pour "ne pas avoir veillé à l'exactitude des données à caractère personnel de ses abonnés", écrit la commission dans sa délibération. Dans sa réponse, l'opérateur a reconnu le dysfonctionnement mais contesté avoir manqué à la loi estimant avoir "une obligation de moyen et non de résultat". Il souligne avoir "corrigé le dysfonctionnement dès qu'il a été porté à sa connaissance".

Pour la CNIL, l'opérateur a une obligation de résultats

Pour la CNIL en revanche, l'opérateur est bien astreint par les textes à une obligation de résultat. La commission rappelle que si l'opérateur a promptement réagi lorsque le dysfonctionnement lui a été signalé, l'erreur a persisté pendant 21 mois avant d'être identifiée.

En l'état, la loi informatique et liberté n'autorise de sanction pécuniaire qu'en cas de non-conformité d'une société à une mise en demeure, ce qui n'est pas le cas dans cette affaire d'où le simple avertissement public.

Mais le projet de loi "pour une République numérique", actuellement examiné au Sénat après un vote positif à l'Assemblée, prévoit de modifier la loi sur ce point. Si le texte est adopté, la CNIL pourra demain sanctionner un organisme à hauteur de 2 à 4% de son chiffre d'affaires, un pourcentage aligné sur le texte réglementaire européen sur la protection des données personnelles.

https://twitter.com/BergeFrederic Frédéric Bergé Journaliste BFM Éco