• Home  / 
  • DELIBERATION 2010-224

DELIBERATION 2010-224

By Thiébaut Devergranne / 5 years ago

La Commission nationale de l’informatique et des libertés,
Vu la Convention n° 108 du Conseil de l’Europe pour la protection des personnes à l’égard du traitement automatisé des données à caractère personnel ;
Vu la directive 95/46/CE du Parlement européen et du Conseil du 24 octobre 1995 relative à la protection des personnes physiques à l’égard du traitement de données à caractère personnel et la libre circulation de ces données ;
Vu la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés, modifiée par la loi n° 2004-801 du 6 août 2004 relative à la protection des personnes physiques à l’égard des traitements de données à caractère personnel, et notamment ses articles 9-4° et 25-I-3° ;
Vu la loi n° 2009-669 du 12 juin 2009 favorisant la diffusion et la protection de la création sur internet ;
Vu le décret n° 2005-1309 du 20 octobre 2005 pris pour l’application de la loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés, modifiée par le décret n°2007-401 du 25 mars 2007 ;
Vu le décret n°2010-236 du 5 mars 2010 relatif au traitement automatisé de données à caractère personnel autorisé par l'article L. 331-29 du code de la propriété intellectuelle dénommé « Système de gestion des mesures pour la protection des œuvres sur internet » ;
Vu la délibération n°2008-006 du 10 janvier 2008 autorisant la mise en œuvre par la Société Civile des Producteurs de Phonogrammes en France (SPPF) d’un traitement de données à caractère personnel ayant pour finalité la recherche et la constatation des délits de contrefaçon commis via les réseaux d’échanges de fichiers dénommés « peer to peer » (autorisation n°1106668) ;
Sur le rapport de M. Emmanuel de GIVRY, commissaire et les observations de Mme Elisabeth ROLIN, commissaire du gouvernement ;
Autorise, dans les conditions définies dans le dossier et ses compléments, la Société Civile des Producteurs de Phonogrammes en France (SPPF) à mettre en œuvre un traitement de données à caractère personnel ayant pour finalité la recherche et la constatation des délits de contrefaçon commis via les réseaux d’échanges de fichiers dénommés « peer to peer », dont les caractéristiques sont résumées dans le tableau ci-dessous. La présente délibération abroge la délibération n° 2008-006 précitée.

Responsable du traitement La Société Civile des Producteurs de Phonogrammes en France (SPPF).
Il s’agit d’une société de perception et de répartition des droits d’auteur et droits voisins telle que visée à l’article L. 321-1 du code de la propriété intellectuelle.
Outre la perception et la répartition des redevances provenant de l’exercice des droits patrimoniaux de ses membres, la SPPF a pour objet la défense de leurs intérêts matériels et moraux ou de ceux de leurs ayants droit.
Finalités Le dispositif soumis à la Commission a pour seule finalité la constatation des délits de contrefaçon commis via les réseaux d’échanges de fichiers dénommés « peer to peer ».
Ce traitement s’inscrit dans le cadre de l’article 9-4° de la loi du 6 janvier 1978 modifiée qui dispose que les personnes morales mentionnées aux articles L. 321-1 et L. 331-1 du code de la propriété intellectuelle, agissant au titre des droits dont elles assurent la gestion ou pour le compte des victimes d’atteintes aux droits prévus aux livres Ier, II et III du même code aux fins d’assurer la défense de ces droits, peuvent procéder au traitement de données à caractère personnel relatives aux infractions. La Commission considère qu’il y a lieu de faire application des dispositions de l’article 25-I-3° de la loi du 6 janvier 1978 modifiée en août 2004 qui soumet à autorisation les traitements portant sur des données relatives aux infractions, condamnations ou mesures de sûreté.
Modalités de mise en œuvre La SPPF aura recours aux services d’un prestataire qui dispose des moyens techniques nécessaires à la recherche et à la constatation des délits de contrefaçon sur les réseaux « peer to peer ». La SPPF prévoit de réaliser 25 000 constats par jour. Le dispositif utilisé à cette occasion reposera sur une technologie consistant à calculer pour chaque œuvre musicale une empreinte numérique unique, insensible aux altérations qu’aurait pu subir l’œuvre concernée. Cette technologie permettra de s’assurer que le fichier mis à disposition par un internaute correspond bien à une œuvre musicale protégée. La SPPF transmettra à son prestataire de service des fichiers musicaux originaux afin qu’il calcule pour chacun d’eux une empreinte numérique unique destinée à alimenter une base de données de référence.
Une fois cette base de données de référence créée, le système du prestataire identifie les fichiers illicites en effectuant des requêtes sur les réseaux « peer to peer » à partir du titre, du nom de l’auteur ou de l’année de production des œuvres figurant dans la base de données de référence et vérifie qu’ils correspondent aux œuvres originales en les confrontant à l’empreinte numérique unique figurant dans la base de données.
Le système du prestataire relève les adresses IP des utilisateurs mettant à disposition les fichiers illicites.
Les agents assermentés de la SPPF consultent la liste des adresses IP des internautes mettant à disposition des fichiers musicaux illicites et peuvent signer le constat de l’infraction.
Deux procédures sont alors possibles :
- soit les agents assermentés de la SPPF saisissent directement, sous forme de procès-verbal, la Haute Autorité pour la diffusion des œuvres et la protection des droits sur Internet (HADOPI), en vertu des dispositions de la loi n° 2009-669 du 12 juin 2009.
- soit les agents assermentés de la SPPF saisissent directement les autorités judiciaires pour les internautes qui mettent à disposition un nombre d’œuvres supérieur à un seuil préétabli. Dans ce cas, les données sont collectées pendant 15 jours et deux seuils seront appliqués afin de déterminer quels seront les internautes devant faire l’objet de poursuites civiles et ceux retenus pour des poursuites pénales.
Le système intègre une liste blanche afin d’éviter une saisine sur des adresses IP autorisées par les titulaires des droits.
Les traitements présentés par la SPPF ne porteront que sur la protection des œuvres appartenant au catalogue des membres dont elle défend les intérêts.
Données traitées Les données traitées sont :

  • l’adresse IP des internautes concernés ;
  • le fournisseur d’accès à internet ayant en charge la gestion de cette adresse IP ;
  • le numéro de port ;
  • le protocole « peer to peer » utilisé ;
  • le pseudonyme utilisé par l’internaute (« User Id »), lorsque celui-ci existe ;
  • les informations sur l’œuvre (titre, artiste, identifiants) ;
  • le nom du fichier tel que présent sur le poste de l’internaute (le cas échéant) ;
  • l’horodatage de la réponse à la requête.
  • le numéro de l’autorisation de la CNIL en vertu de laquelle ils peuvent transmettre ces informations ;
  • l’identifiant du pv ou de la saisine ;
  • l’identifiant de constatation
  • l’adresse IP de l’utilisateur ;
  • le FAI correspondant à l’adresse IP ;
  • le protocole ;
  • le client pair à pair (nom et version) ;
  • horodatage ;
  • segments de fichiers téléchargés ;
  • hashcode ;
  • informations sur le phonogramme ou la vidéomusique (titre, artiste principal, identifiants) ;
  • nom du fichier tel que présent sur le poste de l’internaute (le cas échéant).

Les données transmises à la HADOPI sont :

  • l’adresse IP des internautes concernés ;
  • le fournisseur d’accès à internet ayant en charge la gestion de cette adresse IP ;
  • le numéro de port ;
  • le protocole « peer to peer » utilisé ;
  • le pseudonyme utilisé par l’internaute (« User Id »), lorsque celui-ci existe ;
  • les informations sur l’œuvre (titre, artiste, identifiants) ;
  • le nom du fichier tel que présent sur le poste de l’internaute (le cas échéant) ;
  • l’horodatage de la réponse à la requête.
  • le numéro de l’autorisation de la CNIL en vertu de laquelle ils peuvent transmettre ces informations ;
  • l’identifiant du pv ou de la saisine ;
  • l’identifiant de constatation
  • l’adresse IP de l’utilisateur ;
  • le FAI correspondant à l’adresse IP ;
  • le protocole ;
  • le client pair à pair (nom et version) ;
  • horodatage ;
  • segments de fichiers téléchargés ;
  • hashcode ;
  • informations sur le phonogramme ou la vidéomusique (titre, artiste principal, identifiants) ;
  • nom du fichier tel que présent sur le poste de l’internaute (le cas échéant).
Destinataires Les destinataires des données seront dans la limite de leurs attributions et pour la poursuite de la finalité précitée, les agents assermentés de la SPPF, le Directeur juridique, le Directeur général, les autorités judiciaires et les agents assermentés de la HADOPI.
Information et droit d’accès Les droits d’accès et de rectification s’exerceront auprès des agents assermentés de la SPPF, 22-24 rue de Courcelles – 75008 Paris.

Le président

Alex TURK

About the author

Thiébaut Devergranne

Thiébaut Devergranne est docteur en droit et consultant. Il travaille en droit des nouvelles technologies depuis plus de 10 ans, dont 6 passees au sein des services du Premier ministre. En savoir plus.

Click here to add a comment

Leave a comment: