N'en déplaise aux moqueurs, l'Hadopi ne voudrait pas passer pour une handicapée du calendrier. Après les innombrables mois de retard accumulés pour les e-mails d'avertissement ou la carte musique, et les récentes publications des confortables salaires et indemnités de ses membres, la Haute autorité devait passer la vitesse supérieure pour ne pas se voir accuser d'être payée à ne rien faire. C'est donc en toute urgence, hier, dimanche 26 décembre, qu'a été publié au Journal officiel ( PDF ) le décret tant attendu sur la labellisation des logiciels de sécurisation que Frédéric Mitterrand, alors ministre de la Culture, avait promis «avant la fin de l'année» .
Le décret n°2010-1630 du 23 décembre 2010, c'est son petit nom, fixe les modalités de candidature pour qui souhaite faire labelliser par l'Hadopi un logiciel de «sécurisation» anti-piratage à l'attention des internautes inquiets. Car depuis les premiers débats législatifs, les constructeurs et défenseurs de la loi Hadopi ont toujours clamé qu'il n'était pas nécessaire d'installer un tel logiciel sur son ordinateur pour se défendre juridiquement. Rappelons que l'internaute convoqué au tribunal pour la troisième étape de la riposte graduée, après avoir reçu un e-mail puis une lettre recommandée d'avertissement, n'est pas accusé directement de téléchargement illégal, même si son adresse IP a été «flashée» sur un réseau peer-to-peer, mais de n'avoir pas su sécuriser sa connexion Internet pour empêcher ce téléchargement. Dans le jargon, on parle même de «défaut de diligence dans le maintien opérationnel du dispositif de sécurisation de votre accès Internet» ... Expression brumeuse s'il en est pour désigner un manquement tout aussi flou : la «sécurisation» recommandée par l'Hadopi peut prendre à peu près n'importe quelle forme, technique ou non, de l'installation d'un logiciel de contrôle parental à l'extinction pure et simple de l'ordinateur, en passant par les clés de cryptage (WEP, WPA...) du réseau Wi-Fi. Bref, il suffit de se comporter « en bon père de famille » , nous rassurait Michèle Alliot-Marie l'été dernier. Toujours est-il qu'installer un logiciel spécifique labellisé par l'Hadopi restera la seule solution à même de garantir «une attention bienveillante» de la part du juge, expliquait la présidente de la Commission de protection des droits de l'Hadopi (CPD), Mireille Imbert-Quaretta.
Voici donc détaillée la procédure que devront suivre les sociétés comme H2DS, par exemple, qui a été la première a revendiquer le développement d' un logiciel de sécurisation Hadopi. Le dossier à présenter devra notamment expliquer «les dispositions prévues pour conférer sa pleine efficacité au moyen de sécurisation» et surtout «l'ensemble des éléments permettant d'apprécier la conformité du moyen de sécurisation» au cahier des charges validé par la Haute autorité. Ce document, appelé «projet de spécifications fonctionnelles», est toujours en cours de rédaction. Après une consultation publique lancée en juillet 2010 et prolongée jusqu'à fin octobre, un deuxième round pour une «deuxième version» de travail de ce cahier des charges a été annoncé il y a peu par Éric Walter, secrétaire général de l'Hadopi. La mission est actuellement menée par Michel Riguidel, spécialiste du filtrage par deep packet inspection , et explore notamment la piste d'une surveillance des activités de l'ordinateur par listes blanches, grises et noires des protocoles ou logiciels utilisés.
La candidature des sociétés informatiques qui veulent se lancer dans la grande aventure Hadopi sera examinée par «un ou plusieurs centres d'évaluation, agréés dans le domaine de ces moyens de sécurisation» (par l'Agence nationale de la sécurité des systèmes d'information), au cours d'une procédure payante. L'Hadopi reçoit le rapport d'évaluation et dispose ensuite d'un délai de quatre mois pour faire connaître sa décision, qui sera positive si «elle estime établi, au vu du rapport d'évaluation, que ce moyen est efficace et conforme aux spécifications fonctionnelles qu'elle a rendu publiques.» La Haute autorité se voit confier un véritable pouvoir discrétionnaire, qui n'était pas défini de la sorte dans le projet de décret notifié à Bruxelles en octobre. Le texte prévoyait alors que le label soit attribué de droit au moyen de sécurisation déclaré efficace et conforme par le rapport d'évaluation. L'Hadopi a également le pouvoir de retirer un label déjà attribué.