C’est une situation cauchemardesque dans laquelle personne ne voudrait se trouver qu’a vécue pendant près de deux ans un abonné à Numéricable et que vient aujourd’hui de sanctionner la CNIL par un avertissement public. Entre le 26 janvier et le 15 avril 2013, le fournisseur d’accès Internet a communiqué à tort l’identité de cet abonné à la Hadopi, qu'il avait identifié par erreur à 1 531 reprises. Il l’a fait sur la base des informations que lui fournissait une application qu’il avait développée pour traiter automatiquement les demandes, émanant non seulement de la Haute autorité pour la diffusion des oeuvres et la protection des droits sur Internet, mais aussi des services de police et de gendarmerie.

L’abonné s’est ainsi non seulement retrouvé accusé du délit de contrefaçon mais également mis en cause dans des enquêtes pénales dont l’une visait de faits de pédopornographie, déplore vivement la CNIL. L’internaute a ainsi « fait l’objet de nombreuses perquisitions à son domicile et de plusieurs saisies de ses équipements informatiques ». Par la suite, l’enquête préliminaire conduite par le parquet a révélé que le client de Numericable avait été identifié à tort par la société « en raison d’un dysfonctionnement informatique récurrent », souligne la déclaration établie par la formation restreinte de la CNIL qui a examiné le dossier.

Numericable aurait dû vérifier l'exactitude des données

Le logiciel développé par le fournisseur d’accès Internet traitait de façon automatisée les demandes d’identification des adresses IP qui lui étaient adressées. Cet outil associait les adresses IP, transmises par les autorités administratives ou judiciaires, aux adresses MAC de ses abonnés, ces dernières permettant d’identifier de façon unique un équipement sur un réseau local. Lorsque l’application n’arrivait pas à associer une adresse IP à une adresse MAC, elle renvoyait par défaut vers des adresses MAC composée d’une suite de zéros, explique la CNIL dans sa déclaration. « Or, la société a enregistré sous cette valeur les adresses MAC correspondant aux équipements de plusieurs abonnés », précise-t-elle. C’est ce qui a conduit à identifier indûment les coordonnées de la même personne plus de 1 500 fois. Par ailleurs, « à 7 reprises, entre le 28 janvier et le 11 février 2014, son identité a été de la même façon transmise par erreur à des services de police et de gendarmerie en réponse à des réquisitions judiciaires ».

En avril 2015, la CNIL, saisie par la Hadopi, a effectué un contrôle auprès de Numericable et recueilli également par la suite les éléments établissant ce qui s’était passé. Elle a décidé en novembre d’engager une procédure de sanction à l’encontre du FAI pour manquement à la loi « Informatique et Libertés », assortie d’un avertissement public. Il est reproché à Numericable de ne pas avoir veillé à l’exactitude des données à caractère personnel de ses abonnés « en violation de l’article 6-4° de la loi n°78_17 du 6 janvier 1978 », pointe la CNIL. Cet article stipule notamment que « les mesures appropriées doivent être prises pour que les données inexactes ou incomplètes au regard des finalités pour lesquelles elles sont collectées ou traitées soient effacées ou rectifiées ». Pour sa défense, Numericable a fait valoir le volume considérable de demandes à traiter en provenance de l’Hadopi, ce qui l’a obligé à automatiser sa procédure d’identification des adresses IP. D’où la difficulté à repérer les anomalies. 

L’abonné, injustement mis en cause pendant près de deux ans, a subi « un préjudice important », souligne la CNIL qui ne précise pas dans sa délibération de quelle façon une réparation pourrait lui être apportée. Ces faits sont susceptibles d'entraîner des poursuites pour que la victime obtienne une indemnisation de son préjudice.