• Home  / 
  • DELIBERATION 2005-235

DELIBERATION 2005-235

By Thiébaut Devergranne / 5 years ago

La Commission nationale de l'informatique et des libertés ;

Vu la convention n° 108 du Conseil de l'Europe pour la protection des personnes à l'égard du traitement automatisé des données à caractère personnel ;

Vu la directive 95/46/CE du Parlement européen et du Conseil du 24 octobre 1995 relative à la protection des personnes physiques à l'égard du traitement de données à caractère personnel et à la libre circulation de ces données ;

Vu la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés modifiée par la loi n° 2004-801 du 6 août 2004 relative à la protection des personnes physiques à l'égard des traitements de données à caractère personnel, et notamment son article 25-3° ;

Vu la demande d'autorisation, présentée par la Société des Auteurs, Compositeurs et Editeurs de Musique (SACEM) relative à la mise en oeuvre d'un traitement de données à caractère personnel ayant pour finalités, d'une part, la constatation des délits de contrefaçon commis via les réseaux d'échanges de fichiers dénommés "peer to peer", d'autre part, l'envoi de messages pédagogiques informant les internautes sur les sanctions prévues en matière de délit de contrefaçon;

Après avoir entendu M. Emmanuel de Givry, commissaire en son rapport, et Mme Catherine Pozzo di Borgo, commissaire du gouvernement adjoint en ses observations.

Formule les observations suivantes :

La Société des Auteurs, Compositeurs et Editeurs de Musique (SACEM) a saisi la Commission nationale de l'informatique et des libertés d'une demande d'autorisation relative à la mise en oeuvre d'un traitement de données à caractère personnel ayant pour finalités, d'une part, la constatation des délits de contrefaçon commis via les réseaux d'échanges de fichiers dénommés "peer to peer", d'autre part, l'envoi de messages pédagogiques informant les internautes sur les sanctions prévues en matière de délit de contrefaçon.

Ce traitement s'inscrit dans le cadre de l'article 9-4° de la loi du 6 janvier 1978 modifiée qui dispose que les personnes morales mentionnées aux articles L. 321-1 et L. 331-1 du code de la propriété intellectuelle, agissant au titre des droits dont elles assurent la gestion ou pour le compte des victimes d'atteintes aux droits prévus aux livres Ier, II et III du même code aux fins d'assurer la défense de ces droits, peuvent procéder au traitement de données à caractère personnel relatives aux infractions.

La Commission considère qu'il y a lieu de faire application des dispositions de l'article 25-3° de la loi du 6 janvier 1978 modifiée en août 2004 qui soumet à autorisation les traitements portant sur des données relatives aux infractions, condamnations ou mesures de sûreté.

La SACEM est une société de perception et de répartition des droits d'auteur et droits voisins telle que visée à l'article L. 321-1 du code de la propriété intellectuelle et fait dès lors partie des organismes habilités aux termes de la loi à mettre en oeuvre les traitements prévus à l'article 9-4° précité.

Outre la perception et la répartition des redevances provenant de l'exercice des droits patrimoniaux de ses membres, la SACEM a pour objet la défense leurs intérêts matériels et moraux ou de ceux de leurs ayants droits. Les traitements présentés par la SACEM ne porteront que sur la protection des oeuvres appartenant au catalogue des membres dont elle défend les intérêts.

S'agissant de la finalité d'envoi de messages pédagogiques informant les internautes sur les sanctions prévues en matière de délit de contrefaçon, le dispositif soumis à la Commission devrait fonctionner en deux temps.

Une première étape, initiée à distance par des agents assermentés, serait effectuée par une société prestataire de services. Elle aurait pour objet de sélectionner les internautes qui, ayant mis à disposition un nombre d'oeuvres inférieur à un seuil prédéterminé, se verraient adresser un message de prévention. Cette sélection effectuée sur la base des adresses IP résulterait des requêtes effectuées sur les réseaux "peer to peer" à partir du titre, du nom de l'auteur ou de l'année de production des oeuvres. Une fois ce tri achevé, le dispositif devrait permettre d'identifier le fournisseur d'accès internet en charge de la gestion des adresses IP relevées.

La seconde étape se déroulerait chez les fournisseurs d'accès internet. Les messages d'avertissements leur seraient adressés afin qu'ils puissent les relayer sous la forme de l'envoi d'un courrier électronique à l'internaute attributaire de l'adresse IP relevée lors de la phase d'investigation. Chaque message envoyé devrait auparavant être personnalisé par la SACEM et à ce titre, ferait référence à la nature de l'ouvre mise à disposition ainsi qu'à la date et à l'heure à laquelle cette mise à disposition a été relevée.

Ainsi, à réception des messages adressés par la SACEM, les fournisseurs d'accès à internet devraient procéder, au maximum dans un délai de vingt-quatre heures, à l'authentification et au décryptage des messages, à la recherche du numéro client correspondant à l'adresse IP horodatée dans le fichier des logs de connexions et déconnexions des clients, à la transmission du message à l'abonné, à l'émission d'un avis de traitement adressé à la SACEM et à la destruction de toutes données relatives à l'envoi des messages et de toutes traces de cet envoi.

S'agissant de la finalité relative à la constatation des délits de contrefaçon commis via les réseaux d'échanges de fichiers dénommés "peer to peer", la SACEM devrait avoir recours aux services d'un prestataire qui dispose des moyens techniques nécessaires à la poursuite de cette finalité. Le dispositif utilisé à cette occasion reposerait sur une technologie qui consiste à calculer pour chaque oeuvre musicale une empreinte numérique unique, insensible aux altérations qu'aurait pu subir l'oeuvre concernée. Cette technologie permettrait de s'assurer que le fichier mis à disposition par un internaute correspond bien à une oeuvre musicale protégée. En l'espèce, la SACEM transmettrait à son prestataire de service des fichiers musicaux originaux afin qu'il calcule pour chacun d'eux une empreinte numérique unique destinée à alimenter une base de données de référence.

Une fois cette base de données de référence créée, les agents assermentés des sociétés de perception et de répartition des droits déclencheraient des phases d'inspection grâce à un logiciel permettant d'effectuer des requêtes sur les réseaux "peer to peer" à partir du titre, du nom de l'auteur ou de l'année de production des oeuvres figurant dans la base de données de référence.

En réponse, les agents assermentés obtiendraient la liste des adresses IP des internautes mettant à disposition des fichiers musicaux dont les caractéristiques correspondent à la requête effectuée. Après téléchargement, ces fichiers seraient confrontés à l'empreinte numérique unique de l'oeuvre de référence figurant dans la base de donnée afin de déterminer si les deux coïncident.

A l'issue de cette phase, les agents assermentés de la SACEM devraient lancer une phase de constitution de preuves d'une durée de quinze jours au cours de laquelle des requêtes seraient effectuées spécifiquement sur l'adresse IP des internautes s'agissant desquels la phase d'inspection aura révélé qu'ils mettent à disposition un nombre d'oeuvres supérieur à un seuil préétabli. A échéance de ces quinze jours, deux nouveaux seuils seraient appliqués afin de départager les internautes devant faire l'objet de poursuites civiles de ceux retenus pour des poursuites pénales.

La Commission considère qu'au regard de l'article L. 34-1 du code des postes et des communications électroniques et de la lecture qui en est faite par le Conseil constitutionnel dans sa décision n° 2004-499 DC du 29 juillet 2004, dans laquelle il précise que les données recueillies à l'occasion des traitements mis en oeuvre au titre de l'article 9-4°ne pourront "acquérir un caractère nominatif que dans le cadre d'une procédure judiciaire et par rapprochement avec des informations dont la durée de conservation est limitée à un an", un tel traitement ne saurait s'effectuer via les fournisseurs d'accès à internet sur la base d'un rapprochement entre l'adresse IP des internautes concernés, l'horodatage du comportement générateur et leur identité enregistrée au sein de la base de données des abonnés.

Aussi, la Commission tient-elle à souligner que le développement d'actions de prévention tendant à informer les internautes sur le caractère illégal de certaines pratiques est légitime dés lors qu'il s'inscrit dans le cadre des garanties prévues par le législateur, que tel n'est pas le cas en l'espèce.

Par ailleurs, la Commission considère qu'en l'espèce les traitements relatifs à la recherche et à la constatation des infractions à la propriété intellectuelle ne sont pas proportionnés à la finalité poursuivie dans la mesure où ils n'ont pas pour objet de permettre la réalisation d'actions ponctuelles strictement limitées aux besoins de la lutte contre la contrefaçon mais peuvent aboutir au contraire à une collecte massive de données à caractère personnel sur internet et à une surveillance exhaustive et continue des réseaux d'échanges de fichiers dénommés "peer to peer".

A cet égard, la Commission s'interroge sur la compatibilité, avec le principe de loyauté dans la recherche des preuves, d'un procédé de collecte desdites preuves reposant sur la réalisation de requêtes de téléchargements systématiques sur des adresses IP présélectionnées et ce, pendant quinze jours.

En outre, la Commission estime que la sélection des internautes susceptibles de faire l'objet de poursuites civiles où pénales s'effectue sur la base de critères exclusivement quantitatifs dont la pertinence n'est pas établie et qu'au surplus la SACEM se réserve la possibilité de réviser unilatéralement à tout moment.

N'autorise pas dans ces conditions la Société des Auteurs, Compositeurs et Editeurs de Musique (SACEM) à mettre en oeuvre un traitement de données à caractère personnel ayant pour finalités d'une part, la constatation des délits de contrefaçon commis via les réseaux d'échanges de fichiers dénommés "peer to peer", d'autre part, l'envoi de messages pédagogiques informant les internautes sur les sanctions prévues en matière de délit de contrefaçon.

Le président, Alex TURK.

About the author

Thiébaut Devergranne

Thiébaut Devergranne est docteur en droit et consultant. Il travaille en droit des nouvelles technologies depuis plus de 10 ans, dont 6 passees au sein des services du Premier ministre. En savoir plus.

Click here to add a comment

Leave a comment: