Un abonné à Numericable a été suspecté à tort de pédopornographie, a subi de multiples perquisitions et a été harcelé à tort par la Hadopi, parce que l'opérateur renvoyait par erreur son identité aux services de police et de gendarmerie qui l'interrogeaient.

Les faits sont assez graves pour que la CNIL décide de les rendre publics. Le gendarme de la vie privée a révélé mardi que l’opérateur Numericable était directement responsable du harcèlement administratif et judiciaire subi par un abonné, qui a été « identifié 1 531 fois pour délit de contrefaçon, inculpé 7 fois », et qui a « fait l’objet de nombreuses perquisitions à son domicile et de plusieurs saisies de ses équipements informatiques ».

L’homme n’avait pourtant rien à se reprocher. Mais lorsque Numericable recevait de l’Hadopi, de la police ou de la gendarmerie une demande d’identification d’un abonné à partir de son adresse IP avec date et d’heure d’utilisation, l’opérateur utilisait un logiciel maison, buggé.

« Lorsque l’application ne parvenait pas à associer une adresse IP à une personne, elle ne générait pas de message d’erreur et renvoyait par défaut à un même abonné », constate la CNIL. Plus concrètement, le logiciel associait l’adresse IP de la réquisition à l’adresse MAC de son client, unique pour chaque box Numericable. Mais lorsqu’il n’arrivait pas à trouver les informations, le logiciel utilisait alors l’adresse MAC 00:00:00:00:00:00, attribuée fictivement à plusieurs abonnés. Dont la victime du harcèlement.

Très énervée contre Numericable (mais sans doute moins que le malheureux client), elle note que « ce problème n’a été identifié qu’avec l’insistance d’un service de police chargé d’une procédure pénale ouverte à l’encontre de l’abonné ».

1531 dénonciations en quatre mois

C’est alertée par l’ancienne présidente de la Hadopi, Marie-Françoise Marais, que la CNIL a décidé d’une mission de contrôle auprès de Numericable, et découvert le pot aux roses. « Au vu des éléments du dossier, la formation restreinte de la CNIL a considéré que la société NC NUMERICABLE n’avait pas respecté son obligation légale de transmettre des données exactes aux autorités de poursuite, en vertu de l’article 6-4° de la loi Informatique et Libertés », rapporte l’autorité administrative.

Selon le texte de la délibération (.pdf), le nom de l’abonné persécuté a été communiqué à 1531 reprises entre le 26 janvier et le 15 avril 2013, c’est-à-dire en l’espace de moins de quatre mois. Y compris, ce qui est plus que fâcheux, dans des affaires de pédophilie. C’est lorsque l’Hadopi a transmis le dossier de l’abonné ultra-multi-récidiviste à la justice que le parquet a constaté qu’il y avait visiblement un petit problème.

Le contrôle de la CNIL n’est toutefois intervenu que deux ans plus tard, le 15 avril 2015. Des contrôles complémentaires sur pièces ont été réalisés jusqu’à fin septembre 2015.

Le problème aurait été corrigé par Numericable en 2014, à la suite d’une demande d’information adressée par un service de police le 26 septembre 2014. L’opérateur a reconnu les faits, et échappé à une sanction financière en raison de sa promptitude à modifier le logiciel lorsqu’il a eu connaissance de l’origine du problème. La CNIL a toutefois décidé d’adresser un avertissement public, en guise de peine infamante, devant appeler tous les opérateurs à la vigilance.

L’histoire ne dit pas si l’abonné en cause a porté plainte pour réparation du préjudice subi.