Délibération n°2010-256 du 24 juin 2010 autorisant la mise en œuvre par l’Association de Lutte contre la Piraterie Audiovisuelle (ALPA) d’un traitement de données à caractère personnel ayant pour finalité la recherche et la constatation des délits de contrefaçon commis via les réseaux d’échanges de fichiers dénommés « peer to peer » en vue de la transmission au Procureur de la République (autorisation n°1434049)

La Commission nationale de l’informatique et des libertés,
Vu la Convention n° 108 du Conseil de l’Europe pour la protection des personnes à l’égard du traitement automatisé des données à caractère personnel ;
Vu la directive 95/46/CE du Parlement européen et du Conseil du 24 octobre 1995 relative à la protection des personnes physiques à l’égard du traitement de données à caractère personnel et la libre circulation de ces données ;
Vu la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés, modifiée par la loi n° 2004-801 du 6 août 2004 relative à la protection des personnes physiques à l’égard des traitements de données à caractère personnel, et notamment ses articles 9-4° et 25-I-3° ;
Vu la loi n° 2009-669 du 12 juin 2009 favorisant la diffusion et la protection de la création sur internet ;
Vu le décret n° 2005-1309 du 20 octobre 2005 pris pour l’application de la loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés, modifiée par le décret n°2007-401 du 25 mars 2007 ;
Vu le décret n°2010-236 du 5 mars 2010 relatif au traitement automatisé de données à caractère personnel autorisé par l'article L. 331-29 du code de la propriété intellectuelle dénommé « Système de gestion des mesures pour la protection des œuvres sur internet » ;
Vu la délibération n°2007-298 du 11 octobre 2007 autorisant la mise en œuvre par l’Association de Lutte contre la Piraterie Audiovisuelle d’un traitement automatisé de données à caractère personnel ayant pour finalité la réalisation de statistiques concernant la circulation des œuvres audiovisuelles sur les réseaux d’échanges de fichiers dits de « pair à pair » ;
Sur le rapport de M. Emmanuel de GIVRY, commissaire et les observations de Mme Elisabeth ROLIN, commissaire du gouvernement ;
Autorise, l’Association de Lutte contre la Piraterie Audiovisuelle (ALPA) à mettre en œuvre un traitement de données à caractère personnel ayant pour finalité la recherche et la constatation des délits de contrefaçon commis via les réseaux d’échanges de fichiers dénommés « peer to peer » en vue de les transmettre au Procureur de la République.

Responsable du traitement
L’Association de Lutte contre la Piraterie Audiovisuelle (ALPA).
Il s’agit d’un organisme de défense professionnelle tel que visé à l’article L. 331-1 du code de la propriété intellectuelle.
L’ALPA a pour objet la défense des intérêts matériels et moraux des ayants droit du secteur audiovisuel.
Finalités
Le dispositif soumis à la Commission a pour seule finalité la constatation des délits de contrefaçon commis via les réseaux d’échanges de fichiers dénommés « peer to peer » en vue de les transmettre au Procureur de la République.
Le piratage d’œuvres audiovisuelles non encore disponibles sur le territoire national contribue à la spécificité du secteur. Par aileurs, dans ce domaine, les fichiers échangés proviendraient d’un petit nombre de personnes, avant d’être échangés massivement sur les réseaux.
C’est pourquoi l’ALPA souhaite transmettre directement au Procureur les cas suivants :
  • la première mise à disposition détectée sur l’un des réseaux visés par la demande en violation des droits sur l’œuvre ou l’objet protégé ;
  • la plus importante mise à disposition par un utilisateur au cours d’une même collecte.
Ce traitement s’inscrit dans le cadre de l’article 9-4° de la loi du 6 janvier 1978 modifiée qui dispose que les personnes morales mentionnées aux articles L. 321-1 et L. 331-1 du code de la propriété intellectuelle, agissant au titre des droits dont elles assurent la gestion ou pour le compte des victimes d’atteintes aux droits prévus aux livres Ier, II et III du même code aux fins d’assurer la défense de ces droits, peuvent procéder au traitement de données à caractère personnel relatives aux infractions. La Commission considère qu’il y a lieu de faire application des dispositions de l’article 25-I-3° de la loi du 6 janvier 1978 modifiée en août 2004 qui soumet à autorisation les traitements portant sur des données relatives aux infractions, condamnations ou mesures de sûreté.
Modalités de mise en œuvre
L’ALPA aura recours aux services d’un prestataire qui dispose des moyens techniques nécessaires à la recherche et à la constatation des délits de contrefaçon sur les réseaux « peer to peer ». Le dispositif utilisé à cette occasion reposera sur une technologie consistant à calculer pour chaque œuvre audiovisuelle une empreinte numérique unique, insensible aux altérations qu’aurait pu subir l’œuvre concernée. Cette technologie permettra de s’assurer que le fichier mis à disposition par un internaute correspond bien à une œuvre audiovisuelle protégée. L’ALPA transmettra à son prestataire de service des fichiers audiovisuels originaux afin qu’il calcule pour chacun d’eux une empreinte numérique unique destinée à alimenter une base de données de référence.
Une fois cette base de données de référence créée, le système du prestataire identifie pour chaque œuvre les fichiers illicites en effectuant des requêtes sur les réseaux « peer to peer » à partir de mots clefs, poids informatique, format ou en recherchant les liens permettant leur téléchargement sur des sites dédiés et vérifie qu’ils correspondent aux œuvres originales en les confrontant à l’empreinte numérique unique figurant dans la base de données.
Le système du prestataire relève les adresses IP des utilisateurs mettant à disposition les fichiers illicites au cours de sessions de collecte.
Les agents assermentés de l’ALPA consultent la liste des adresses IP des internautes mettant à disposition des fichiers musicaux illicites et peuvent signer le constat de l’infraction. Ils identifient, au sein de cette liste, l’adresse IP qui a mis à disposition le plus grand nombre de fichiers illicites différents ainsi que les adresses IP pour lesquelles une première mise à disposition d’un fichier illicite correspondant à une œuvre de référence a été détectée.
Le Procureur sera saisi sur ces adresses IP après chaque session de collecte.
Le système intègre une liste blanche afin d’éviter une saisine sur des adresses IP autorisées par les titulaires des droits.
Données traitées
Les données traitées sont :
  • adresse IP des internautes concernés ;
  • FAI correspondant à l’adresse IP ;
  • le numéro de port ;
  • le protocole ;
  • identifiant de l’utilisateur (pseudonyme), le cas échéant ;
  • client pair à pair (nom et version) ;
  • horodatage ;
  • segments de fichiers téléchargés ;
  • hashcode ;
  • informations sur le vidéogramme ou l’œuvre audiovisuelle (titre, ayant-droit, identifiants et date d’accessibilité légale en France) ;
  • nom du fichier tel que présent sur le poste de l’internaute (le cas échéant) ;
  • nombre d’œuvres mises en partage (le cas échéant) ou première détection ;
  • pourcentage des œuvres mises à disposition.
Destinataires
Les destinataires des données seront dans la limite de leurs attributions et pour la poursuite de la finalité précitée, les agents assermentés de l’ALPA, le Directeur juridique, le Directeur général et les autorités judiciaires.
Information et droit d’accès
Les droits d’accès et de rectification s’exerceront auprès des agents assermentés de l’ALPA, 6 rue de Madrid – 75008 Paris.
Le président
Alex TURK