La Cnil autorise donc le processus de l'Hadopi : TMG communique une infraction aux ayants-droits. Ces derniers dressent un procès verbal puis le remettent à l'Hadopi. Le dossier arrive devant la CPD qui décide ou non de l'envoi des e-mails. Suit alors la procédure dite de la « riposte graduée ».
Pour autant, le garant des libertés informatiques pointe quelques disproportions dans un système complexe qui laisse peu de « marge d'appréciation aux agents assermentés ». Dans son rapport publié sur PcInpact, la Cnil regrette donc qu'au vu du « nombre élevé de saisines prévues, soit 25 000 par jour dans un premier temps, puis 150 000 par jour, il est impossible que les agents assermentés vérifient les constatations une à une ».
La Cnil va même plus loin. Elle regrette que les « premières étapes de la riposte graduée (envoi d'email et de lettre recommandée) reposeront donc uniquement sur la collecte opérée par le système de TMG. Votre rapporteur considère qu'il serait préférable que le système de collecte soit homologué par un tiers de confiance ».
La question du choix de la technologie utilisée par le prestataire TMG revient donc aux devants de la scène. Certaines personnes au sein de l'Hadopi avaient déjà évoqué cette question du bout des lèvres. Elles regrettaient que ne soit « labellisée » qu'une seule méthode de traque des IP.
Cette fois, la Cnil pose donc la question de la fiabilité des informations collectées. D'autant que le processus de la riposte graduée doit absolument se faire très rapidement puisqu'une fois qu'une adresse IP est enregistrée, la Cnil n'autorise que pendant 24 heures son enregistrement. Une exception existe cependant, le délai peut être étendu à trois jours si l'enregistrement a été fait le samedi ou le dimanche et que le lundi est un jour férié.
La traque d'Hadopi pourrait donc se faire le week-end...