Rapport CNIL

I
Commission nationale

de I'informatique et des libertes

Rapport presente en seance pleniere Ie 18 octobre 2005

Rapport relatif it la mise en oeuvre par quatre societes de perception et de repartition des droits d'un traitement de donnees it caractere personnel ayant pour finalite la constatation des infractions au Code de la propriete intellectuelle et l'envoi de messages aux internautes dans Ie

cadre des reseaux "peer to peer"

M. Emmanuel de Gi vry

Rapporteur

Avec Ie concours de:

M. Mathias Moulin. attache a la direction des affaires juridiques

DOC Projet P2P· SPRD musique Mise it jour: 14110/20052:29 DABC / MAM

Commission nationale de I'informatique et des libertes

SOMMAIRE

I. Les elements de contexte 5

A. L'impact econornique du « peer to peer» sur l'industrie musicale 5

B. Panorama du cadre legislatif et j urisprudentiel europeen et americain 9

1. Rappel du cadre h~gislatif et jurisprudentiel francais : 9

2. Le contexte americaln 'III 'III.~.oiII III "III" •• "iIII .. " 11

3. Diversite des solutions au sein de l'Union europeenne 12

C. Les demandes precedemment examinees par la CNIL 13

II. Les fonctionnalites du dispositif soumis it la CNIL 13

A. La detection des internautes contrefacteurs 13

B. L'envoi de messages pedagogiques 13

III. Appreciation du traitement au regard du cadre legislatif 13

A. La qualificationjuridique des faits 13

B. La conformite de la fonctionnali te d' envoi de message au regard de l' article L. 34M 1 du

code des postes et communications electroniques 13

C. La proportionnali te du dispositif au regard de 1a finali 16 poursui vie 13

1. Un dispositif sans commune mesure avec celui du SELL 13

2. Un dispositif permettant l'exercice de poursuites civiles et penales a grande

echelle ••.. 011 ••••••••••••••• oiII •••••••••• oiII •• ~.III ,. ,. ,..,.,,, oiII •• ~.'III ~ 13

3. Examen du dispositif au regard de la position adoptee par Ie G29 13

Conclusion 13

Liste des annexes

1. Projet de deliberation 200S-XX du 18 octobre 200S portant refus d'autorisation de la mise en oeuvre par la Societe des Auteurs, Compositeurs et Editeurs de Musique (SACEM) d'un traitement de donnees it caractere personnel ayant pour finalites, d'une part, la constatation des delits de contrefacon commis via les reseaux d'echanges de fichiers denommes « peer to peer », d'autre part, l'envoi de messages pedagogiques informant les internautes sur les sanctions prevues en matiere de delit de contrefacon,

2. Projet de deliberation 200SMXX du 18 octobre 2005 portant refus d'autorisation de la mise en ceuvre par la Societe pour l' administration du Droit de Reproduction Mecanique (SDRM) d'un traitement de donnees it caractere personnel ayant pour finalites, d'une part, la constatation des delits de contrefacon commis via les reseaux d'echanges de fichiers denommes « peer to peer », d'autre part, I'envoi de messages pedagogiques informant les internautes sur les sanctions prevues en matiere de delit de contrefacon,

Commission nationale de l'informatique et des Iibertes

Entre les mois d'avril et juillet 2005, quatre societes civiles de perception et repartition des droits d'auteur et droits voisins ont adresse a la Commission des dossiers relatifs a la mise en oeuvre de traitements de donnees a caractere personnel ayant pour finalites, d'une part, la constatation des delits de contrefacon commis via les reseaux d'echanges de fichiers denommes «peer to peer », d'autre part, I'envoi de messages pedagogiques informant les internautes sur les sanctions prevues en matiere de delit de contrefacon,

Les societes civiles de perception et repartition des droits en question sont :

• la Societe des Auteurs, Compositeurs et Editeurs de Musique (SACEM) ;

• la Societe pour I'administration du droit de Reproduction Mecanique (SDRM). II convient d'indiquer que la SDRM est une emanation de la SACEM qui lui a delegue l'exercice du droit de reproduction mecanique ' des ceuvres de son repertoire. Les personnels de la SACEM et de la SDRM sont communs it ces deux societes ;

• la Societe Civile des Producteurs Phonographiques (SCPP) ;

• la Societe Civile des Producteurs de Phonogrammes en France (SPPF).

Outre la perception et la repartition des redevances provenant de I' exercice des droits patrimoniaux de leurs membres, ces societes ont pour objet la defense des interets materiels et moraux de leurs membres ou de leurs ayants droits". Les traitements presentes par ces organismes porteront sur la protection des ceuvres appartenant au catalogue des membres dont ils defendent les interets,

Lesdits traitements s'inscrivent dans Ie cadre de l'article 9-40 de la loi du 6 janvier 1978 modifiee qui dispose que les personnes morales mentionnees aux articles L. 321-13 et L. 331- 14 du code de la propriete intellectuelle, agissant au titre des droits dont eUes assurent la gestion ou pour le compte des victimes d'atteintes aux droits prevus aux livres Ier, II et III du meme code aux fins d'assurer la defense de ces droits, peuvent proceder au traitement de donnees it caractere personnel relatives aux infractions.

I Les prerogatives de la SDRM resident dans Ie droit d'autoriser ou d'interdire la reproduction mecanique d'une ceu vre, et notamment de fixer les conditions auxquelles I' autorisation de reproducton peut stre accordee, La reproduction mecanique consiste par exemple en la fabrication de cd-roms, vinyles ... II s'agit de la reproduction d'une ceuvre sur un support en vue de sa commercialisation. Les titualires des droits doivent effectuer une declaration et proceder a une demande d'autorisation au pres de [a la SDRM a l'occasion de la fabrication des cdroms qui feront I'objet d'une mise sur Ie rnarche, La SDRM a egalement en charge de la perception et de la repartition des redevances dues a l'occasion de [a reproduction d'une oeuvre musicale.

2 S'agissant de la SACEM, il s'agit des auteurs, des compositeurs et des editeurs de musique ; concernant [a SCPP, il s'agit des producteurs de phonogrammes, tandis que la SPPF a en charge les interets des producteurs de phonogrammes independants, Les membres de la SDRM sont egalement des auteurs, des compositeurs et des editeurs de musique dans la mesure ou [a SACEM lui a delegue I'exercice du droit de reproduction mecanique des eeuvres de son repertoire.

3 (( Les societes de perception et de repartition des droits d'auteur et des drolts des artistes-interpretes et des producteurs de phonogrammes et de videogrammes sont constituees sous forme de socletes civiles. Les associes doivent etre des auteurs, des artistes-interpretes, des producteurs de phonogrammes ou de videogrammes, des edtteurs, ou leurs ayants droit. Ces societes civiles regulierement constituees ont quallte pour ester en justice pour la defense des droits dont elfes ont statutalrement la charge. [. . .] »

4 « Les organismes de defense professionnelle regulierement constltues ont qualit« pour ester en justice pour fa defense des interets dont its ont statutairement la charge. »

Commission nation ale de Pinformatique et des libertes

3. Projet de deliberation 200S-XX du 18 oetobre 2005 portant refus d'autorisation de la mise en ceuvre par la Societe Civile des Produeteurs Phonographiques (Sepp) d'un traitement de donnees it caractere personnel ayant pour finalites, d'une part, Ia constatation des delits de contrefacon commis via les reseaux d'echanges de fichiers denommes « peer to peer », d'autre part, I'envoi de messages pedagogiques informant les intemautes sur les sanctions prevues en matiere de delit de contrefacon,

4. Projet de deliberation 200S-XX du 18 oetobre 2005 portant refus d'autorisation de la mise en c:euvre par la Societe Civile des Producteurs de Phonogrammes en France (SPPF) d'un traitement de donnees it caractere personnel ayant pour finalites, d'une part, la constatation des delits de contrefacon commis via les reseaux d'echanges de fichiers denommes « peer to peer », d'autre part, l'envoi de messages pedagogiques informant les intemautes sur les sanctions prevues en matiere de delit de contrefacon,


A cet egard, it peut d'ores et deja etre constate que dans la mesure ou les quatre organismes concernes sont des societes civiles de perception et repartition des droits d' auteur et droits voisins telles que definies par l'article L. 321-1 du code de la propriete intellectuelle, ils appartiennent it l'une des deux categories de personnes morales habilitees a mettre en eeuvre de tels traitements.

En outre, i1 convient de souligner qu'en vertu de I'article L331-25 du CPI, les personnes morales visees it l'article L. 321-1 du code de fa propriete intellectuelle ont vocation it intervenir en matiere de constatation des infractions relatives a fa propriete intellectuelle.

Compte tenu de I' ensemble de ces elements, il y a lieu pour la Commission de faire application des dispositions de l'article 25-1-3° de la loi du 6 janvier 1978 modifiee qui soumet a autorisation les traitements, automatises ou non, portant sur des donnees relatives aux infractions, condamnations ou mesures de surete.

I. Les elements de contexte

Le pro cede, appele « peer to peer », litteralement « de pair a pair », permet a deux ordinateurs relies it Internet de communiquer directement l'un avec l'autre sans passer par un serveur central, on parle alors d'architecture decentralisee. II suffit it l'internaute de telecharger gratuitement un logiciel et de l'installer sur son propre ordinateur. II peut alors, d'une part, mettre it disposition les fichiers qu'il stocke dans un repertoire accessible it tous et, d'autre part, telecharger n'importe quel type de fichiers mis a disposition par d'autres utilisateurs du meme reseau « peer to peer ».

Avant d'examiner les dispositifs qui lui sont aujourd'hui soumis et de determiner s'ils sont proportionnes a la finalite poursuivie, il faut rappeler plusieurs elements de contexte' et notamment, I'impact economique de ce phenomene (A) et ses repercussions sur le cadre legislatif et jurisprudentiel en Europe et en Amerique du Nord (B). De merne, il apparait necessaire de rappeler certains elements relatifs au premier dossier de ce type presente par le Syndicat des Editeurs de Logiciels de Loisirs en mars 2004 (C).

A. L'impact economique du « peer to peer» sur l'industrie musicale

Selon les analyses effectuees par une societe quebecoise specialisee dans la surveillance des reseaux « peer to peer ))6, la repartition des telechargements pour la France serait la suivante : les ceuvres musicales representeraient 39%, la video 34% et Ie reste concernerait les logiciels et les livres.

s « la preuve de la materiallte de toute infraction aux dispositions des livres fer, II et III du code de la propriet« intellectuelle peut resulter des constatations d'agents assermentes des ignes par les organismes professionnels d'auteurs et par les societes de gestion et de repartition des droits et agrees par le ministre charge de fa culture »,

6 Etude IT Innovations & Concepts menee par Digital Intelligence Centre en octobre 2004: http://www.itic.ca/D IC/index.html


Par ailleurs, un document de travail realise pour la Direction generale du Tresor et de la politique economique estime que la France compterait 8 millions d'utilisateurs occasionnels des reseaux «peer to peer» et 750 000 utilisateurs reguliers, II est egalement indique que Ie telechargement correspond au troisieme usage d'intemet, apres la messagerie electronique et Ia navigation sur les sites web.

Ce document de travail indique egalement que « selon fa theorie economique, I 'effet global du piratage sur les ventes de contenu !egal est ambigu. D 'une part, deux mecanismes pesent a la baisse sur les ventes d'album : le telechargement peut eire vu comme un substitut a l'achat d'originaux au meme de copies legales, et son cout marginal minime redult Ie consentement a payer des utilisateurs. D'autre part, d'autres mecanismes tendent a stimuler les ventes: le piratage peut etre considere comme un moyen de diffusion et d'exposition des ceuvres culture lies ; il stimule la consommation de biens culturels ; [ ... J la concurrence qu'il exerce sur le marche de la musique conduit a moyen terme a une baisse du prix qui permet a des consommateurs dont Ie consentement a payer etait trop faible de I 'acheter et done a une augmentation de la demande. D 'un point de vue qualitatif on peut toutefois s 'attendre a ce que I 'effet de substitution I 'emporte sur I 'effet positif d'apprentissage .»

D'une maniere generale, les etudes disponibles sur Ie lien entre piratage et baisse des ventes d'ceuvres musicales sont peu nombreuses, empiriques et souvent contradictoires.

Ainsi, a l'occasion d'une etudeS menee en 2004 ayant pour objet de mesurer I'impact du « peer to peer» sur les ventes d'albums, des chercheurs ont mis en parallele les donnees relatives au nombre de telechargement de chansons et les ventes hebdomadaires des albums sur lesquels elles figuraient. Cette etude a ete realisee sur la base de 1,75 millions telechargements effectues entre septembre et decembre 2002 sur deux serveurs d'echange, II en resulte que Ie « peer to peer» aurait un impact limite sur les ventes de disques et que les telechargements sont tres concentres sur un nombre reduit d'artistes. II y est precise qu'il faudrait « 5000 telechargements pour reduire d'une unite les ventes d'un album d'un artiste peu reconnu. On pourrait alors extrapoler ce resultat a des pertes de l'ordre de quelques millions sur une annee alors que les ventes ant chute de 140 millions entre 2000 et 2002 aux Etats- Unis. »

7 Document de travail: « droit d'auteur et piratage sur internet » ; datant de mai 2005, redige par Madame Helene Durand pour le compte du Bureau des activites tertiaires et concurrence de la Direction generate du Tresor et de la politique economique, II est precise en page de garde de ce document qu'il « n'engage que son auteur » et a pour objet de stimuler Ie debat sur ces questions.

S "The Effect of File Sharing on Record Sales: An Empirical Analysis" Article publie en mars 2004 de Oberholzer & Strumpf, pour la Harvard Business School & I'UNC Chapel Hill. "Nous nous interessons a l'effet du partage de flchlers surles ventes legales de mus ique. Un echanrdlon representant 0,0 I % des teleohargemems mondiaux est compare aux ventes d'un grand nombre de titres d'albums aux Etats-Unis. Afin d'etablir Ie lien de causallte, les teiechargements son! qualifies a partir de facteurs techniques relatifs au portage de fichiers, tels que fa congestion des reseaux ou fa longueur des chansons, ainsi que les vacances scolaires dans Ie monde. L 'effet des telechargements sur les ventes est statistiquement nul, malgre la precision des estimations. Qui plus est, les estimations montrent que l'effet economique est peu significatlf et ne corroborent pas les affirmations selon lesquelles le partage de fichiers est la prlncipale raison du recent declin des ventes de musique"


II resulte d'une autre etude", portant sur les telechargements de fichiers dans 16 pays, que sur les 9 % de reduction de vente de cd-rom pour l'annee 2002, seulement 2% pourraient etre dus aux echanges de fichiers ; les 7 % restants seraient lies a la transformation des activites de loisir et plus specifiquement a l'ecoute de radios sur Internet. En revanche cette etude revele egalement que Ie telechargement de fichiers via internet serait responsable de la baisse des ventes de musique a hauteur de 10% pour l'annee 2001.

Neanrnoins, les etudes mises en avant par l'International Federation of the Phonographic Industry (IFPI - Federation intemationale de I'industrie phonographique) tendent a demontrer qu'il existe bien un lien de causalite entre la baisse du chiffre d'affaire de l'industrie musicale et Ie developpement du « peer to peer ».

L'IFPI indique dans un communique de presse du 7 avril 2004 que les ventes mondiales de musique ont diminue de 7,6 % en 2003. II est precise que la raison de cette quatrieme annee de baisse consecutive trouve son origine dans les effets combines du piratage sur Internet, des contrefacons physiques de cd-rom et de la concurrence d'autres produits de divertissement. Le piratage sur Internet demeure cependant selon I' IFPI un facteur tres important du declin mondial des ventes d'ceuvres musicales.

A cet egard, la SACEM et la SDRM indiquent dans leurs dossiers de demande d'autorisation que ce phenomene « a des repercussions directes pour les auteurs, compositeurs et editeurs de musique, puisqu'il s'agit d'une forme d'exploitation qui ne fait l'objet d'aucune aiuortsation et ne donne lieu a aucune remuneration, et ce en meconnaissance des principes du droit d 'auteur appliques a toutes les autres formes d 'utilisation des ceuvres protegees. »

II Y est egalernent precise que « selon une etude de I 'IDATEJO, plus de six milliards de fichiers musicaux ont eli echanges en France par l'lntermediaire des differents protocoles « peer to peer », sur lesquels ont estime que 99% sont proteges par Ie droit d'auteur et lou les droits voisins. Le marche- du disque a chute dans des proportions considerables : la comparaison entre Ie premier septembre 2003 et le I" trimestre 2004 permet de constater une baisse de 25% en ce qui concerne Ie chifJre d'affaires relatif aux ventes d'albums et de 31% en ce qui concerne le chiffre d'affaires relatifs aux ventes de singles (chiffres du Syndicat national de I 'edition phonographique). Celie baisse du marche se repercute evidemment sur le montant des perceptions des redevances de droit d'auteur au titre de la vente de supports phonographiques de I 'ordre de 25% en 2004 par rapport a 2003. ))

II convient cependant de relativiser ces declarations au vu des resultats figurant dans les rapports d'activite de Ia SACEM dans lesquels il est precise que « Ie montant des droits encaisses en 2002 par fa SACEM pour les repartir aux auteurs, compositeurs et editeurs de musique est de 672,4 millions d'euros, en augmentation de 5,4% qui fait suite a celle de 6,9% en 2001 et de 6,1% en 2000. »

9 "The Effect of Internet Piracy on CD Sales: Cross-Section Evidence" Etude realisee en janvier 2004, par Martin PEITZ [International University in Germany; CESifo (Center for Economic Studies and Ifo Institute for Economic Research)] et Patrick WAELBROECK [Free University of Brussels (VUBIULB) - European Center for Advanced Research in Economics and Statistics (ECARES)]

10 Cree en 1977, 1'!DATE est un des tout premiers centres d'etudes et de conseil en Europe, specialise dans les industries et marches des telecommunications, de l'Internet et des medias audiovisuels.

Commission nationale de l'informatique et des libertes

De merne, Ie demier rapport annuel indique que « le montant des droits encaisses en 2003 [. . .) s'est eieve a 708,5 millions d'euros, en augmentation de 5,4%. »

II resulte de l'ensemble des elements precites que si les echanges de fichiers via les reseaux « peer to peer» peuvent expliquer pour partie la baisse des ventes d' oeuvres musicales, ils ne sauraient en constituer I'unique facteur, a fortiori, dans un secteur en pleine mutation du fait notamment, du developpement de nouveaux modes de distribution des oeuvres de l'esprit au format numerique' J.

A cet egard, it convient de rei ever que l'industrie musicale a peine it s'adapter et it faire evoluer son modele economique, puisque jusqu'en 2004 aucune alternative legale de distribution numerique n'etait disponible en France. En 2003, il n'existait que 20 platesformes de telechargement legales dans le monde, depuis it en existe 230 dont 20 sur Ie marche francais,

Le developpernent de ces offres semble d'ailleurs avoir un effet immediat, puisque comme l'indique une etude realisee pour Ie compte de I'IFPI, le nombre de personnes achetant legalement de la musique en ligne s'accroit rapidement et tend it rejoindre celui des internautes util is ant Ie « peer to peer » 12.

Entin, Ie chiffre d'affaires mondial de l'industrie musicale, evalue it 32, I milliards de dollars, n'a baisse que de 1 % en 2004, cette baisse due a la chute des ventes de cd-rom (-12,9 %) a en partie ete compensee par la hausse de 26,3 % des ventes de DVD musicaux et par la croissance des ventes de musique en ligne, qui bien que marginales atteignent 289 millions de dollars. En outre, apres quatre annees de baisse consecutive, l'institut de prevision britannique Informa Media Group estime que les ventes augmenteront de 1 % en 2005.

II En ce sens on peut citer Ie rapport de M. le Depute Christian V ANNESTE effectue au nom de la commission des lois dans Ie cadre du projet de loi relatif au droit d'auteur et aux droits voisins dans la societe de l'information. : « Naturellement, it est sans doute excessif d'imputer la totalite de la baisse du chiffre d'affaires constatee au seul developpement des echanges gratuits de fichiers sur internet. Certains mettent notamment en cause divers autres e14ments, parmi lesquels sont souvent cites, en tant que facteurs susceptibles d'expliquer le malaise de cette industrie :

- les consequences de la politlque editoriale des editeurs, parfols accuses de privilegier la rentablllte a court terme plutot que l'installation d'artistes dans fa duree ;

- un appui excessif sur le reseau de la grande distribution, qui se limite par construction, en raison de la taille limitee de ses rayons consacres a la musique, aux produits les plus vendus. Alnsi, au debut de l'annee 2005, qui semble accrottre encore cette tendance, les grandes surfaces alimentaires representaient 58,4 % de l'ensemble des ventes en nombre, contre 41,6 % pour les grandes surfaces specialisees ;

- une part trop importante laissee aux sous-produits de la television realtt« ;

- la concurrence accrue d'autres produits de loisirs (dvd -« digital versatile disc », jeux video, internet,

telephonie mobile) dont le coin s'lmpute sur un budget de consommation de biens ou de services culturels qui n'est pas indeflnlment extensible;

- une certaine obsolescence technologique du support que constitue Ie cd;

- la gestlon des prix unitaires, avec en particulier des ecarts considerables entre les nouveautes et les fonds de

catalogues, volre pour le meme produit au fil de sa vie commerciale et des promotions successives, qui peuvent perturber la notion de valeur du cd pour les consommateurs.

II est a l'evidence difficile de partager equitablement les responsabilites reelles entre ces dijJerentes causes supposees, et de quantifier l'importance respective de ces multiples facteurs. Pour autant, il est certain que les telechargements ant connu une simultaneite manifeste avec la diminution des ventes. »

12 Une etude sur les habitudes de telechargement des foyers americains indique que ce sont les jeunes consommateurs (moins de 25 ans) qui sont les plus reticents a s'orienter vers Ie telechargement legal du fait notamment, des contraintes liees au paiement en ligne et de la necessite de disposer d'une carte bancaire.

Commission natlonale de l'informatiquc et des libertes

B. Panorama du cadre Iegislatif et jurisprudentiel europeen et americain

Comme pour la grande majorite des phenomenes lies it internet, l'echange de fichiers via les reseaux « peer to peer» a une dimension planetaire : les adeptes de cette technologie, repartis dans la plupart des pays du monde, accedent aux fichiers mis it disposition quel que soit le lieu geographique de la source d' emission.

Alertes par les industriels de la musique, du cinema et des jeux videos, les autorites des pays dans lesquels ces secteurs ont un poids economique important, principalement les pays occidentaux, ont apporte des reponses qui ne sont pas totalement homogenes tant sur Ie plan legislatif que jurisprudentiel.

1. Rappel du cadre h~gislatif et jurisprudentiel franeats :

Sur Ie plan legis latif Ie droit d'auteur est principalement encadre par les lois du 11 mars 1957 et du 3 juillet 1985, auxquelles s'ajoute la loi du 10 mai 1994 transposant en droit interne la directive europeenne sur les logiciels, la loi du 5 fevrier sur la contrefacon et la loi du 27 mars 1997 relative it I'harmonisation de la duree de protection.

II convient toutefois de souligner qu'outre I'introduction de l'article 9-40 de la loi du 6 janvier 1978 modifiee en aout 2004 d'autres initiatives ont ete prises en vue d'adapter notre cadre legislatif aux consequences liees it la numerisation des ceuvres de l' esprit. Le Parlement devrait ainsi examiner en decembre prochain le projet de loi relatif au droit d'auteur et aux droits voisins dans la societe de l'information, ayant pour objet la transposition de la directive du 22 mai 2001 sur l'harmonisation de certains aspects du droit d'auteur et des droits voisins

dans la societe de I' information. .

Entin, rappelons que la loi Perben II du 9 mars 2004 a durci les peines en matiere de contrefacon, Ainsi, l'article L335-4 prevo it que les actes de contrefacon sont punis par deux it trois ans de prison et de 150000 euros it 300000 euros d'amende. Si le delit de contrefacon est commis en bande organisee, la peine est portee it cinq ans d'emprisonnement et 500 000 d'amende.

Si le cadre legislatif est en cours d'adaptation, les juges ont quant it eux du apporter, sur la base du droit existant, des reponses aux demandes de plus en plus nombreuses des titulaires des droits.

A cet egard, la qualification juridique apportee aux comportements des internautes dans Ie cadre de l'utilisation des reseaux « peer to peer» diverge selon que l'internaute met it disposition des oeuvres de l'esprit (telechargement en emission ou « Upload ») ou qu'il transfere sur son ordinateur des fichiers partages par les autres intemautes (telechargement en reception ou « Download »),

Commission nationale de l'Infurmatique et des libertes

En effet, s'agissant des internautes mettant a disposition des ceuvres sur Ie reseau, les decisions apparaissent unanimes. Ainsi, le fait de communiquer au public une ceuvre sans Ie consentement de l'auteur ou de ses ayants droits releve de Particle L. 122-4 du Code de la propriete intellectuelle qui dispose que « toute representation ou reproduction integrale ou partielle faite sans le consentement de l'auteur ou de ses ayants droit ou ayants cause est illicite. r .. ) )) ce qui conduit a faire application de Particle L. 335_313 du code de la propriete intellectuelle relatif au de lit de contrefacon.

Un doute subsiste cependant concernant les internautes procedant exc1us ivement au telechargement en reception (« download ») des ceuvres. En effet, l'article L. 122-5 du Code de la propriete intellectuelle qui definit I'exception de copie privec" ne fait aucune allusion a la source de la copie ; des lors un internaute ayant pro cede au telechargement d'une ceuvre via un reseau « peer to peer» est susceptible d'invoquer Ie benefice de l'exception de copie privee quand bien meme il ne serait pas en possession de l'original.

Cette analyse a notarnment ete retenue par Ie Tribunal de grande instance de Rodez, dans un jugement du 13 octobre 2004, au terme duquel il a prononce la relaxe d'un internaute ayant grave sur cd-rom plusieurs centaines de films. Cette decision a ete confirmee par un arret de la Cour d'appel de Montpellier le 10 mars 200515,

Neanmoins, it convient d'indiquer que Ie Tribunal de grande instance de Pontoise a rendu un jugement contraire le 2 fevrier 2005, estirnant que les fonctionnalites du logiciel de « peer to peer » utilise irnposaient la mise a disposition des fichiers telecharges et que la presence de cd-rom graves contenant des ceuvres pour lesquelles Ie prevenu ne disposait pas des originaux suffisait a etablir la prevention de contrefacon, Ce dernier point laisse a supposer que les juges ont estime qu'une copie d'une oeuvre realisee it partir d'un exemplaire contrefait, car mis it disposition sur le reseau en meconnaissance des droits d'auteur, empechait l'internaute de se prevaloir de I' exception de copie privee,

II resulte des elements precedemment evoques que nous traversons actuellement une peri ode de transition necessaire a I 'adaptation du cadre legislatif et de la jurisprudence a un phenomene qui d'une part, concerne un nombre non negligeable de personnes et d'autre part, semble se perenniser,

13 « Est egalement un dellt de contrefacon toute reproduction, representation ou diffusion, par quelque moyen que ce soil, d'une oeuvre de l'esprit en violation des droits de l'auteur, leis qu'ils sont defints et reglementes par la loi. Est egalement un delit de contrefacon la violation de l'un des drolts de l'auteur d'un logiciel definls a l'article L. 122-6. »

14 Le droit de copie privee constitue une exception au monopole d'exploitation de I'auteur sur son reuvre.

15 La Cour d'appel a estirne qu' « il n'etait demontre aucun usage a titre collectif », que « tout au plus Ie prevenu avait admis avoir toutefois regarde une de ces copies en presence d'un ou deux copains et avoir prete des cd graves a quelques amis », et que « l'on ne [pouvait] deduire de ces seuls faits que les copies realisees ne I'[avaient] pas ete en vue de l'usage prive prevu par le texte », bien que I'usage reconnu par Ie prevenu apparaisse plus large que Ie seul cadre personnel ou familial. La cour ne s'est cependant prononcee, dans ce cas d'espece, que sur Ie caractere prive ou non de l'utilisation de l'ceuvre, et non sur [a qualification de contrefacon du telechargement partiellement a ['origine des ceuvres,


A ce propos, M. le Depute Christian VANNESTE souligne dans son rapport (cf supra) qu'en tout etat de cause, « la mise en oeuvre de sanctions penales a l'encontre de la musique telechargee illicitement est devenue un veritable objet de debat, avec des positions tres tranchees, certains representants syndicaux de la magistrature ayant meme pu appeler publiquement a « depenaliser » cette pratique irfractionnelle'", compte tenu du fait qu'elle est de venue generalisee pour une generation, alors que les representants des ayants-droit demeurent naturellement convaincus que Ie risque d'une sanction est un moyen indispensable de lutte contre les comportements delictueux. »

2. Le contexte americain

Meme si Ie droit du copyright en vigueur aux Etats-Unis et Ie droit d'auteur representent deux systemes de droit et deux cultures juridiques distinctes avec des modalites d'application differentes, les echanges culturels, politiques et economiques internationaux tendent a confondre les deux ensembles 17, A cet egard, le « peer to peer » entralne egalement des violations du droit du copyright.

Face au developpement de ce phenomene, les Etats-Unis ont ete les premiers a faire evoluer leur legislation notamment au travers de I'adoption du «No electronic Theft Act» en 1997 et du « Digital Millenium Copyright Act» (DMCA) en octobre 1998.

C'est egalernent aux Etats-Unis que la premiere decision de justice relative au « peer to peer» a etc rendue consecutivernent a une plainte de 1a Recording Industry Association of America (RIAA). Ainsi, la Cour d'appel de San Francisco a rendu un arret Ie 12 fevrier 200118 concluant ala fermeture du site www.napster.com qui proposait un service gratuit d'echange de fichiers via un serveur central.

A la suite de cet arret, ce type d' architecture centralisee a ete abandonne pour ceder 1a place aux protocoles d'echanges de flchiers reposant sur one architecture decentralisee telle que nous la connaissons actuellement et dans Ie cadre desquels les echanges s'effectuent d'intemaute a internaute. C'est desormais chaque internaute qu'il convient de poursuivre individuellement dans la mesure OU les echanges ont lieu directement avec d' autres utilisateurs du reseau sans passer par une societe centralisant les echanges'",

16 Tribune de M. Dominique BARELLA, president de ['Union syndicale des magistrats, dans l'edition de Liberation du 14 mars 2005.

17 Ainsi, comme les Etats de ['Union europeenne, les Etats-Unis sont parties it [a Convention de Berne du 9 septembre 1886 sur Ie droit d'auteur, it la Convention universelle sur le droit d'auteur de Geneve du 6 septernbre 1952, au traite OMP! droit d'auteur/droits voisins du 20 decembre 1996 et aux accords ADP!C (Aspects des Droits de Propriete Intellectuelle qui touchent au Commerce) du 15 avril 1994 adopres dans Ie cadre des tra vaux de l'Organisation Mondiale du Commerce.

18 Arret de la Cour d'appel de San Francisco en date du 12 fevrier 2001 - «A and M Records V Napster » : hup:llwww.ce9. IIscollrls. govlweblnewopinions.nstl4be2ebeOce5be94 e882 56927007 a 37 b9Ie4/204f"6 ge2 5 38{6882 i_69f7 00616b06?OpenDoelfll1enl

19 Dans un arret de la Cour Supreme des Etats-Unis du 27 juin 2005, les juges ont eu l'occasion de se prononcer sur [a responsabilite des editeurs de logiciel P2P. Les societes Grokster et Stream Cast developpent et distribuent des logiciels permettant l'echange via Ie reseau, des fichiers electroniques de toute nature. Contrairement it Napster, les logiciels proposes par ces deux societes ne conservent pas la Iiste des fichiers echanges et ne controlent pas les technologies utilisees, C'est pourquoi, leur responsabilite n'a pas ete engagee sur la connaissance et la contribution materielle it la contrefacon (« contributory I iabil ity »r, En revanche, les j uges ont reproche it Grokster et StreamCast de ne pas avoir accompli les efforts necessaires pour empecher leurs

• _. I * • _ I. ~I I·


La RIAA a ainsi lance en 2003 une campagne de repression en utilisant des outils logiciels pennettant de collecter automatiquement l'adresse IP des intemautes et de connaitre la nature des fichiers qu'ils mettaient a disposition sur les reseaux P2P. Apres avoir obtenu une ordonnance du tribunafo visant a identifier les detenteurs des adresses IP concernees, les preuves collectees ont permis a la RIAA de poursuivre et de faire condamner plusieurs centaines de personnes adeptes des echanges de fichiers musicaux « pirates ».

S'agissant du Canada, Ie 31 mars 2004, la Cour federale a emis un jugement rejetant la demande des grandes maisons de disques qui souhaitaient que certains foumisseurs d'acces Internet canadiens leur divulguent les noms et coordonnees d'internautes ayant participe au piratage de fichiers musicaux en ligne. Pour justifier ce refus, les juges ont, d'une part, constate que la reproduction d'un contenu protege, situe dans l'ordinateur d'un utilisateur, peut beneficier de l'exception pour I'usage prive selon l'article 80 de la loi sur Ie droit d'auteur canadien21 et d'autre part, que l'utilisateur en pennettant le partage d'un contenu sur son disque dur ne commettait pas d'acte de « distribution» selon la terminologie canadienne.

Sur ce point la cour d' appel federale a estime Ie I 9 mai 2005 que la decision devait etre revue et completee : elle s'est notamment interrogee sur le point de savoir si cette exception pouvait s'appliquer aux internautes mettant leurs fichiers a la disposition d'autres internautes.

3. Diversite des solutions au sein de l'Union europeenne

Bien que dans I'ensemble les pays de l'Union europeenne soient d'accord pour considerer la mise a disposition d'ceuvres protegees sur les reseaux « peer to peer» comme des actes de contrefacon, it n'existe pas encore de position homogene. Le droit du copyright et le droit d'auteur coexistent egalement,

La directive 2004/48/CE relative au respect des droits de la propriete intellectuelle impose a tous les Etats membres d'appliquer des mesures et des sanctions efficaces, dissuasives et proportionnees contre les auteurs de contrefacon et de piratage et de mettre a egalite les titulaires de droits dans l'Union europeenne.

Parmi les mesures destinees a rapprocher les legislations nationales, un droit d'infonnation (article 8) est prevu par la directive, permettant ainsi aux juges d'ordonner notamment aux contrevenants de communiquer diverses informations telles les noms et adresses des producteurs, fournisseurs des services.

utilisateurs de telecharger ou de mettre en partage des fichiers proteges. Ainsi, leur responsabilite fut retenue sur Ie fondement d'une intention prejudlciable visant a faciliter les infractions au copyright.

20 Au depart, 1a RIAA a base sa requete sur la section 512 du «Digital Millennium Copyright Act» et sur les «limitations de responsabilite concernant Ie materiel en ligne». Selon ces dispositions, tout detenteur de droits d'auteur ou son representant peut demander a un auxiliaire de justice d'un tribunal federal d'adresser une injonction a un fournisseur d'acces afin que celui-ci fournisse l'identite d'un utilisateur soupconne d'activites enfreignant Ie droit d'auteur. Cette procedure est relativement souple, car elle permet d'obtenir des donnees a caractere personnel sur I'utilisateur sans engager une action en justice. Neanmolns, elle a ete consideree comme illegale a la suite d'unjugement du 24 avril 2003 opposant la RIAA a un fournisseur d'acces a internet (Verizon Internet Services). Des lors, la RIAA doit disposer d'une ordonnance du tribunal.

21 «[ ... ] ne constitue pas une violation du droit d'auteur protegeant tant l'enregistrement sonore que l'auvre musicale qui Ie constituent, le fait de reprodulre pour un usage prive l'integralite ou toute partie importante de cet enregistrement sonore, de cette ceuvre ou de cette presta lion sur un support audio ».

Commission nationalc de I'informatique et des libertes

Quant aux sanctions penales, la directive n'y fait pas expressement reference mais prevo it a son article 16, la possibilite pour les Etats membres d'adopter « des sanctions appropriees en cas d'atteinte a des droits de propriete intellectuelle. » Toutefois, ces sanctions ne seront applicables que si I'infraction a ete commise « en vue d'obtenir un avantage economique et commercial direct. »

Cette directive doit etre transposee par les Etats membres avant Ie 26 avril 2006.

Notons que la Commission europeenne a publie en juillet 2005 un projet de directive relatif aux mesures penales visant a assurer Ie respect des droits de propriete intellectuelle qui devrait completer la presente directive.

• Au Royaume-Uni

Les ceuvres de I' esprit sont protegees par Ie « Copyright, Designs and Partner Act » de 1988 dont l'article 16 reserve a l'auteur les droits exclusifs de copier et de communiquer ses oeuvres. Des dispositions specifiques au telechargement ont ete adoptees lors de la transposition de la directive du 22 mai 2001 sur l'harmonisation de certains aspects du droit d'auteur et des droits voisins dans Ia societe de I'information. Elles visent principalement les groupes organises de piratage et non pas Ie « simple telechargeur »,

Jusqu'a present, Ia British Phonographic Industry, organisme assurant la defense des interets de I'industrie du disque anglaise, a eu pour strategic de negocier avec les personnes suspectees d'activite illegale, Toutefois, depuis Ie 1 er aout 2005, elle a assigne devant les tribunaux plusieurs utilisateurs des reseaux « peer to peer» et semble ainsi s'orienter vers des actions plus repressives.

L'identification des internautes necessite une inj onction du j uge sans Iaquelle les fournisseurs d'acces it internet ne peuvent communiquer les donnees de connexion a la British Phonographic Industry.

• Aux Pays-Bas

Dans un jugement du 12 mai 2004, le tribunal d'Harlem a considere qu'au regard des lois en vigueur aux Pays-Bas « fa copie pour usage prive (dans ce cas, par moyen de telechargement d'unflchier MP3) ne constitue pas une violation de [la] loi» tant que l'utilisateur du fichier telecharge ne Ie rend pas disponible.

Cette decision de principe s'appuie sur les dispositions de l'article 16.b du« Copyright Act» de 1912 qui reconnait le droit aux particuliers, d'effectuer des copies d'oeuvres protegees a condition qu'ils ne les mettent pas a 1a disposition du public, peu importe qu'ils detiennent ou non l'original.

• En Espagne

La loi organique du 25 novembre 2003, entree en vigueur en octobre 2004 a modifie l'article 270 du code penal relatif a la protection des eeuvres de I'esprit, renforcant ainsi les sanctions prevues contre le telechargement et Ie contournement des dispositifs anti-copies.

• H. t.' ..

Commission nationalc de I'informatique et des libertes

Neanmoins, il est a preciser que Ie telechargement d'ceuvres protegees par Ie droit d'auteur ne constitue un delit passible de sanctions penales que s'il se fait « dans un but lucratif et au prejudice d'un tiers. » En pratique, I'interpretation de cette disposition par les tribunaux a eu pour effet de « legaliser » Ie telechargement effectue a titre personnel et dans un but non lucratif.

• En Italie

La loi transposant Ia directive europeenne du 22 mai 2001 sur l'harmonisation de certains aspects du droit d'auteur et des droits voisins dans la societe de I'information est entree en vigueur Ie 30 avril 2003. Celle-ci permet de poursuivre aussi bien ceux qui font du « piratage» un commerce que ceux qui diffusent gratuitement tout contenu protege par le droit d'auteur.

C. Les demandes precedernment examinees par la CNIL

Depuis I'introduction de l'article 9-4° par la loi du 6 aofit 2004, qui permet justement aux societes de perception et de repartition des droits de mettre en ceuvre de tels traitements, la seule decision de Ia Commission, date du 24 mars 2005 (deliberation n02005-50) et autorise Ie Syndicat des Editeurs de Logicieis de Loisirs (SELL) a mettre en ceuvre un traitement de donnees a caractere personnel ayant pour finalites la constatation des infractions au code de la propriete intellectuelle dans le cadre des reseaux « peer to peer » et l'envoi aux internautes de messages pedagogiques,

L'autorisation de la Commission reposait notamment, sur le fait que:

Ie volet repressif du dispositif projete etait proportionne a la Iinalite poursuivie notamment, en ce que les poursuites qu'il permettait d'engager etaient limitees aux internautes responsables de la premiere mise a disposition sur Ie reseau d'une ceuvre et/ou ayant mis a disposition une ceuvre non encore commercialisee,

les proces-verbaux a l'origine des poursuites engagees a I'encontre des internautes etaient dresses par un agent assermente designe par Ie SELL et agree par Ie ministere de la culture conformernent aux dispositions de l'article L. 331-2 du Code de la propriete intellectuelle,

en vertu de l'article L. 34-1 du code des postes et des communications electroniques, les donnees collectees ne pouvaient acquerir un caractere nominatif que dans Ie cadre d'une procedure judiciaire,

la duree de conservation des donnees a caractere personnel etait proportionnee a la finalite poursuivie et les mesures prises afin d'assurer la securite de ces donnees etaient satisfaisantes au regard des recommandations de la CNIL.

S'agissant des dispositifs soumis aujourd'hui a son appreciation, la Commission doit compte tenu de l'analyse de leurs fonctionnalites (II), determiner s'ils remplissent les criteres suffisants pour considerer qu'ils sont de nature a preserver l'equilibre entre la protection des droits reconnus aux personnes dont les donnees sont traitees et la protection des droits dont beneficient les auteurs et leurs ayants droits (III).


II. Les fonctionnalites du dispositif soumis it la CNIL

Si les finalites poursuivies par les traitements presentes par la SACEM, la SDRM, la SPPF et la SCCP sont similaires a celles figurant dans la demande d'autorisation du SELL, les fonctionnalites de ces dispositifs ainsi que l'echelle de leur mise en ceuvre ne sont en revanche pas comparables.

Par ailleurs, les modalites techniques de mise en ceuvre des dispositifs presentes par les quatre societes de perception et repartition des droits precitees sont strictement identiques et necessitent I' intervention du meme et unique prestataire de service: la societe Advestig022• Ces societes ont en effet indique ne pas disposer des competences et des moyens techniques necessaires aux traitements qu'elles projetent d'effectuer.

Neanrnoins, tous les traitements, qu'ils aient pour finalite la constatation des delits de contrefacon ou I'envoi de messages pedagogiques, sont inities a distance par les agents asserrnentes des societes de perception et repartition des droits, via une connexion internet securisee.

Enfin, il doit etre souligne ~ue Ie dispositif envisage permet de proceder a la surveillance de 11 reseaux « peer to peer »2 , soit la quasi-totalite des reseaux existants. Les traitements mis en oeuvre par le SELL ne portaient quant eux que sur les quatre principaux reseaux.

A. La detection des internautes contrefacteurs

Le dispositif presente par les societes de perception et repartition des droits repose sur une technologie developpee par la societe Advestigo'" qui consiste a calculer pour chaque document ou objet numerique (film, morceau de musique) un identifiant unique, insensible aux alterations de l' obj et25 .

22 Societe francaise creee en 2002, immatricule au RCS de Nanterre sous Ie numero B 443 924 543.

23 Gnutella2, eDonkeyy, Fast Track (Kazaa), Overnet, Gnutella, Bittorrent, Soulseek, OpenNap, AudioGalaxy, DirectConnect et Open FT.

24 Sur ce point iI convient de preciser que la Commission a ete saisie d'une demande de conseiJ de la part du cabinet d'avocat de Gaulle, Fleurance et associes, conseiller de la societe Co-pee Night agency, l'informant que cette derniere avait agi en contrefacon devant le Tribunal de Grande Instance de Paris, a I'encontre de la societe Advestigo pour violation des brevets relatifs : (( au precede et un systeme automatise de recherche de fichiers mis en partage sur les reseaux et reproduisant au moins partiellement le eontenu de l'auvre a proteger ;[aJ un procede et [a] un systeme automatise d'identification des caracteristiques du jichier mls en portage et des utilisateurs a l'origlne de cette mise en portage. » Etant precise que « fa consequence d'une telle contrefacon, si elle etal: corflrmee par les tribunaux, serait defaire reposer les traitements pour lesquelles iI vous (la eN!L) est demande une autorisation, sur des precedes contrefaisants et done de rendre ees traitements lllicltes. »

25 AdVestigo a brevete cette technologie denommee « la theraographie » et qui consiste a calculer une empreinte numerique propre a n'importe quel fichier, image, photo, film, musique ou texte. L' empreinte generee constitue une sorte de « photo intelltgente du document» qui resiste, jusqu'a une certaine limite, aux transformations, compressions, changements de couleur, extraction d'une partie. II est par exemple, possible d'identifier un titre indus a l'interieur d'un autre fichier ou encore une chanson rnalgre un souffle important.


L'utilisation de cette technologie doit permettre de s'assurer que Ie fichier mis a disposition par un internaute correspond bien a une eeuvre musicale protegee. En I' espece, chacune des quatre societes de perception et de repartition des droits transmettra a fa societe Advestigo 10 000 fichiers musicaux originaux (soit 40 000 en tout). La societe Advestigo calculera alors pour chacun de ces fichiers un identifiant unique destines a alimenter des bases de donnees de reference.

Chaque societe disposera de sa propre base de donnees contenant 10 000 titres dont elle assure la perception et la repartition des droits. Cette base de donnees fera I'objet d'une mise a jour mensuelle a hauteur de 10% (tous les mois 1000 nouveaux titres integreront la base en remplacement d' anciens.)

Une fois ces bases de donnees de reference creees, les agents assermentes des societes de perception et de repartition des droits declencheront des phases d'inspection grace a un logiciel developpe par la societe Advestigo permettant d'effectuer des requetes sur les reseaux « peer to peer ) a partir du titre, du nom de I'auteur ou de l'annee de production des ceuvres figurant dans la base de donnees de reference.

En reponse, les agents assermentes obtiendront la liste des adresses IP des internautes mettant a disposition des fichiers musicaux dont les caracteristiques correspondent a la requete effectuee, Apres telechargement, ces fichiers seront confrontes a l'identifiant unique de l'ceuvre de reference figurant dans la base de donnee afin de determiner « avec une grande fiabilite » si les deux coincident, Ie cas echeant Advestigo indique etre « statistiquement en

presence d 'une reproduction totale ou partielle, exacte ou approchee de l'teuvre de reference [. . .). i6

Les traitements mis en oeuvre par la suite doivent etre scindes en trois phases.

La premiere phase a ete intitulee « calibrage / ciblage » par la societe Advestigo, elle se deroule sur 24 heures. Elle permet « de selectionner au sein d'un grand nombre d'utilisateurs illicites des reseaux peer to peer ceux qui sont les plus virulents et mettent a disposition Ie plus grand nombre d'ceuvres de manieres regulieres. » A ce stade, un tri est done effectue en vue de departager les internautes qui recevront un simple message d'avertissement de ceux qui feront I'objet de poursuites penales ou civiles.

Ce tri est effectue sur la base d'un seuil quantitatif fixe par les societes de perception et repartition des droits. Ainsi, les internautes ayant mis a disposition.5.,.O ou plus de 50 fichiers musicaux figurant dans la base de donnees de reference sont isoles afin de les soumettre a des traitements complementaires, les autres se voient adresser un message d'avertissement (cf infra).

Les intemautes selectionnes au cours de la phase « calibrage / ciblage » sont alors soumis a un traitement supplementaire denomme « ciblage avance ». Les agents assermentes declenchent « une routine de 'constitution de preuve' » : au cours de cette phase, dont la duree est de 15 jours, des requetes sont effectuees specifiquement sur l'adresse IP des intemautes concernes.

26 Premiere page du contrat de prestation de service liant Advestigo aux differentes societes de perception et repartition des droits,

Commission narionale de I'informatique et des libertes

A I'issue de ces 15 jours, deux nouveaux seuils sont appliques:

• les internautes ayant mis a disposition entre 500 et 999 fichiers musicaux sont retenus pour faire l'objet de poursuites civiles;

• les internautes ayant mis a disposition au moins 1000 fichiers musicaux sont retenus pour faire I' objet de poursuites penales.

Neanmoins, les societes de perception et repartition des droits precisent qu'il est toutefois possible que ces seuils s'averent trop eleves, Dans cette hypothese, elles se reservent alors Ia possibilite de selectionner quelques adresses IP (au minimum 2 par jour de traitement) parmi celles mettant Ie plus de fichiers a disposition pour lancer des actions de constitution de dossiers en vue d'eventuelles actions penales. Elles indiquent egalement qu'elles etabliront une « table de correspondance »sur la base des resultats des trois premiers mois de traitement et des actions penales afin de determiner de nouveaux seuils pour les actions civiles'",

Les donnees traitees it I' occasion de la detection des internautes contrefacteurs sont :

• I' adresse IP des internautes concemes ;

• Ie fournisseur d' acces it internet ayant en charge Ia gestion de cette adresse IP ;

• Ie numero de port28 ;

• Ie protocole « peer to peer» utilise;

• Ie pseudonyme utilise par l'internaute (« User Id »), lorsque celui-ci existe ; 29

• Ies informations sur l'ceuvre (titre, artiste, identifiants) ;

• le nom du fichier tel que present sur le poste de I'intemaute (si possible) ;

• I'horodatage de la reponse it la requete,

Les societes de perception et de repartition des droits indiquent souhaiter conserver ces donnees pendant 120 jours, car it s'agit du laps de temps moyen entre Ie depot de plainte et I'intervention des officiers de police judiciaire ou de gendarmerie: la conservation de ces information doit permettre de « justifier la realite des constatations effectuees par les agents assermentes, notamment dans Ie cas ou les fichiers concernes ne seraient plus sur le disque dur de l'internaute au moment de l'intervention des officiers de police judiciaire au de gendarmerie. » A I'issue de ce delai les societes de perception et de repartition des droits procederont a la destruction de ces donnees.

En l'espece, la duree de conservation apparait pertinente et adequate au regard de Ia finalite poursuivie.

27 II est cependant indique dans te dossier de demande d'autorisation que « Dans la mesure 011, sans utillser de trailements automatises ni meme manuels (sic), la SCPP est en mesure de relever des adresses IP met/ant a disposition plus de /000 fichiers musicaux, if est tout a fait improbable que les resultats des traitements automatises ne permettent pas d'identifier les adresses IP mettant a disposition Ie plus grand nombre de flchlers musicaux [. . .], »

28 II s'agit du canal de communication virtuel utilise par la machine de I'intemaute pour echanger des informations sur le reseaux « peer to peer ) : en quelque sorte la « porte » d'entree et de sortie empruntee par les donnees lors d'une communication. II ne s'agit en aucun cas d'une don nee it caractere personnel.

29 La plupart des logiciels « peer to peer» offrent la possibilite aux intemautes qui le souhaitent d'indiquer un pseudonyme afin de personnaliser la maniere dont ils apparaissent sur le reseau, Si l'internaute choisit de ne pas indiquer de pseudonyme Je logiciel lui en attribue un par defaut (de manlere aleatoire, sans lien avec un quelconque element d'Identification de la machine ou de I'internaute lui-meme),

Commission nutionale de l'Informatique ct des Iibertes

Enfin, il convient de preciser que les mesures de securite mises en ceuvre par les societes de perception et de repartition des droits et la societe Advestigo dans le cadre des traitements ayant pour objet la recherche et la constatation des infractions apparaissent satisfaisantes.

B. L'envoi de messages pedagogiques

Les traitements relatifs a l'envoi de messages pedagogiques sont realises en deux temps. La premiere etape, initiee a distance par des agents assermentes, est effectuee par la societe Advestigo, la seconde etape se deroule chez les fournisseurs d'acces internet des internautes concernes,

Les societes de perception et de repartition des droits ont precise dans leurs dossiers de demande d'autorisation qu'elles souhaiteraient conserver les donnees traitees en vue de l'envoi de message pendant trois jours et ce, afin de couvrir les week-end et jours feries pendant lesquels les agents assermentes ne travaillent pas et qui sont des periodes de grande activite sur les reseaux « peer to peer ». Cette justification apparait pertinente.

Comme cela a ete indique precedemment, seuls les internautes ayant mis a disposition moins de 50 ceuvres figurant dans la base de donnees de reference se verront adresser un message de prevention.

II est egalement prevu que dans l'hypothese ou une rneme adresse IP serait identifiee plusieurs fois pour des fichiers differents dans Ie merne traitement, Ie dispositif ne generera qu'un seul message d'avertissement pour la derniere occurrence relevee afin d'eviter qu'un internaute ne receive plusieurs messages dans la meme journee,

Une fois la premiere etape de tri achevee, Ie dispositif identifiera pour chaque cas Ie fournisseur d'acces internet en charge de la gestion de I'adresse IP relevee, Le message d'avertissement sera alors adresse au fournisseur d'acces afin qu'il puisse Ie relayer a I'internaute concerne : contrairement au SELL qui utilise les fonctionnalites des logiciels de « peer to peer» pour adresser des messages aux internautes, les societes de perception et repartition des droits souhaitent envoyer un courrier electronique aux personnes attributaires des adresses IP relevees",

En consequence, elles sont obligees d'utiliser les services des fournisseurs d'acces a internet qui d'une part, sont seuls en mesure de faire Ie lien entre une adresse IP et l'identite d'un internaute, et d'autre part, disposent des adresses de courrier electronique de leurs abonnes,

A reception des messages adresses par les societes de perception et de repartition des droits, les fournisseurs d'acces a internet procederont, au maximum dans un delai de 24 heures, a :

• l'authentification et au decryptage des messages;

)0 Les societes de perception et de repartition des droits justifient ce choix par Ie fait que les internautes ont la possibilite de configurer leur logiciel de « peer to peer » afin de ne pas recevoir de messages de la part de tierces personnes. Des lors, Ie SELL n 'a aucune garantie que Ie message adresse a atteint son destinataire, ce qui du point de vue des societes de perception et de repartition des droits tend i't limiter la portee pedagogique d'un tel precede.

Commission nationale de l'informatique et des Iibertes

• la recherche du numero client correspondant a I' adresse IP horodatee dans Ie fichier des logs de connexions et deconnexions des clients;

• Ia transmission du message a l'abonne ;

• l'emission d'un avis de traitement adresse aux societes de perception et de repartition des droits indiquant Ie nombre de messages recus et le nombre de messages envoyes, sans aucune information sur les adresse IP concernees ;

• la destruction de toutes donnees relatives a l'envoi des messages et de toutes traces de eet envoi.

II est a preciser que l'avis de traitement adresse par les fournisseurs d'acces a internet ne comporte aucune reference a I' adresse IP concernee, ni au contenu du message adresse. II s'agit uniquement d'inforrner les societes de perception et de repartition des droits sur Ie nombre de messages envoyes.

Enfin, it convient de souligner que le dispositif soumis a la CNIL se distingue egalernent de celui precedemment presente par le SELL de part Ie volume de messages qu'il est projete d'envoyer. En effet, Ie SELL souhaitait envoyer environ 30000 messages par trimestre, tandis que les Societes de perception et de repartition des droits prevoient 50000 envois par jour",

S' agissant du contenu du message+', il contient une reference a I' ceuvre musicale dont Ia mise a disposition a genere I'envoi (titre et artiste concerne), II est egalement precise aux internautes qu'il ne s'agit que d'un message d'avertissement qui ne donnera lieu a aucune poursuite j udiciaire et qu' aucune information relative aux internautes ne sera conservee.

II est cependant indique d'une part, que ce message ne saurait garantir I'internaute qu'aucune poursuite judiciaire ne pourrait etre menee pour des faits similaires, d'autre part, que des agents assermentes effectuent chaque jour des verifications sur les reseaux. Enfin, Ie message contient un lien vers une rub rique du site internet des societes de perception et de repartition des droits permettant d'obtenir des informations cornplementaires sur Ia campagne de prevention menee,

Les donnees traitees a l'occasion de l'envoi de messages d'avertissements sont :

•

I 'horodatage du fait generateur ;

le nom du fichier tel qu'il est presente par I'intemaute ; Ie « hash » du fichier" ;

la taille du fichier'" ;

Ie « user hash »35 de l'utilisateur au sein du logiciel de « peer to peer» ;

•

•

•

•

31 Cela correspond a environ 10000 messages par fournisseur d'acces et par jour. II est neanrnoins precise que ce chiffre pourrait etre revu a la baisse concernant les fournisseurs d'acces ne pouvant traiter une telle volumetric.

32 Cj annexe 3

33 II s'agit d'une cle d'identification calculee et attribuee automatiquement a chaque fichier mis sur les reseaux par les logiciels de « peer to peer » eux-memes, Cet identifiant unique est calcule, grace a un algorithme de hachage, sur la base des caracteristiques du fichier : tel morceau de musique se verra toujours attribue Ie rnsme identifiant quel que soit la personne le mettant a disposition sur Ie reseau.

34 II s'agit d'une mesure de la quantite d'informations associee au fichier, ce qui donne une indication de la capacite de memoire dont iI faut disposer pour le stocker. Cette information est exprimee en Kilo octet, Mega octet ou G iga octet.

Commission nationale de l'Inforruatique et des Iibertes

• Ie fournisseur d'acces a internet concerne ;

• I' adresse IP cryptee ;

• le « hash» irreversible de l'adresse IP36.

A ce stade, il convient de souligner que si votre rapporteur a ete en mesure d'apprecier les fonctionnalites et les mesures de securite mises en ceuvre par les societes de perception et de repartition des droits et la societe Advestigo dans Ie cadre des traitements ayant pour objet I' envoi de messages, tel n' est pas Ie cas concernant les traitements mis en oeuvre par les fournisseurs d'acces a internet. II n'a ete communique a la Commission que des declarations d'engagement et un bref detail des operations effectuees par les fournisseurs d'acces a internet.

III. Appreciation du traitement au regard du cadre legislatif

Avant de se prononcer sur la conformite du precede d'envoi de message a I'article L. 34-1 du code des postes et communications eiectroniques (B) et d'apprecier si les traitements envisages sont strictement necessaires aux besoins de la Iutte contre la contrefacon (C), il convient de determiner si les conditions fixees a l'article 9-40 de la loi du 6 janvier 1978 modifiee sont reunies (A).

A cet egard, il a deja ete releve que les quatre organismes ayant effectue les demandes d' autorisation sont des societes civiles de perception et repartition des droi ts d' auteur et droits voisins telles que definies par l'article L. 321-1 du code de la propriete intellectuelle et sont des lors habilites a mettre en ceuvre les traitements projetes,

11 reste des lors a la Commission a s'assurer que Ies comportements faisant l'objet des traitements constituent sans ambiguite des infractions a la propriete litteraire et artistique. Si tel n'etait pas Ie cas, les traitements envisages seraient soumis a simple declaration.

A. La qualification juridique des faits

S'agissant de la qualification juridique des faits, seule la mise a disposition d'une c:euvre constitue de facon certaine un acte de contrefacon dans le cadre des reseaux « peer to peer ». En I'espece, cette exigence apparait respectee puisque pour que Ie dispositif pro cede au telechargement d'une ceuvre, en vue de verifier si elle figure dans Ia base de donnees de reference, elle doit necessairernent avoir ete mise a disposition au prealable par un internaute.

JS II s'agit d'un « identifiant anonyrne » de l'urilisateur utilise en interne par Ie logiciel de « peer to peer », Cet identifiant est calcule sur la base d'elements sans correlation avec des donnees permettant d'identifler directement ou indirectement un utilisateur.

36 La societe Advestigo applique une fonction de « hachage » ne permettant pas Ie calcul en sens inverse a I'adresse IP afin de generer un « identifiant anonyme » destine a eviter qu'un rneme abonne receive plusieurs messages d'avertissernent sans la meme journee, En effet, si au cours du meme traiternent une adresse IP etait identifiee pour des fichiers differents un message d'avertissernent ne sera genere que pour la derniere occurrence. L'algorithme de hachage rnis en ceuvre est denomrne SHA-J et est conforme a l'etat de I 'art. II repose sur l'utilisation d'une clef secrete et a comme caracteristique principale de garantir Ie caractere irreversible de l'anonymisation,


Toutefois deux cas de figure sont it distinguer :

• soit I'internaute a sciemment mis it disposition une ceuvre en la placant dans un dossier specifique de son ordinateur ;

• soit il procede it la mise it disposition non intentionnelle de l'ceuvre qu'il est en train de telecharger'".

A cet egard, s'il convient de relever que Ie de lit de contrefacon est soumis comme les autres delits it la double condition de l'existence d'un fait materiel et de l'mtention coupable de son auteur. Neanmoins, en matiere de contrefacon, l'intention coupable est presumee des que la rnaterialite des faits est etablie : « le renversement de la charge de la preuve est ainsi organise au detriment du defendeur qui doit prouver qu 'il n 'a pas contrefait. »38

II appartient ainsi au contrefacteur « d'administrer la preuve contraire de sa bonne foi et du fail qu'il n 'a pas agi sciemment, ni commis de faute, d'imprudence, au de negligence. »39 Cependant, cette presomption de sa mauvaise foi est une presomption simple, I'utilisateur poursuivi en contrefacon peut prouver sa bonne foi, en avancant une excuse.

Ainsi, dans la mesure ou le dispositif soumis it la Commission ne permet pas de distinguer les deux cas precedernment exposes, on peut s' interroger sur I' appreciation qui serait portee par les juges du fond sur la bonne foi d'un internaute se prevalant de son ignorance, et done du caractere non intentionnel, de la mise it disposition d'une ceuvre resultant des caracteristiques du logiciel de « peer to peer ».

Bien qu'il n'y ait pas it notre connaissance de jurisprudence sur ce point precis, it convient de relever qu'en matiere de co ntrefacon « fa mauvaise foi correspond au dol general, c 'est it dire it la volonte de commettre un acte interdit par la loi penale, en I 'occurrence, la volonte d'exploiter une ceuvre protegee. [".JOn est ici dans Ie domaine d'une seconde presomption " celle de la connaissance de la loi qui interdit au prevenu de plaider l'erreur de droit en soutenant que, s'il a viole les prerogatives de l'auteur, c'est qu'il en ignorait l'existence. Mime si, s'agissant de particuliers, Ie jeu des presomptions peut paraitre parfois bien severe (cf par ex. T. corr. Paris, 24 janv. 1984, RIDA, n" 121, p. 159), dans la plupart des cas, les nombreux avertissements jigurant sur les exemplaires des oeuvres diffusees dans Ie public, mettant ce dernier en garde contre le « photo co pillage » ou la representation des videocassettes du commerce en dehors du « cercle de famille », interdiraient, meme si l'adage « nul n'est cense ignorer la loi s ne s'appliquait pas, de recourir it l'argument de l'ignorance. »40

37 Les fonctionnalites techniques des logiciels de « peer to peer» imposent la mise a disposition des fichiers en cours de telechargernent dans une logique de partage des ressources. Ainsi, si M. X precede au relechargement d'une ceuvre et que pendant qu'il telecharge cette reuvre M. Y effectue une requete sur la merne reuvre, M. Y profitera du telechargement en cours de M. X. II Y a constitution d'une sorte de chaine de partage inherente au logiciel « peer to peer» dont l'internaure (ici M. X) peut ignorer I'existence.

38 Xavier Linant de Bellefonds, « Droits d'auteur et droits voisins », Dalloz, r edition.

39 Code de la propriere intellectuelle, 5c edition, Dalloz, annotations portee a l'article L. 335-2.

40 Recueil Oalloz 1999, Chroniques p. 319, « L'elemen: intentionnel de la contrefacon et le nouveau code penal », Sylviane Ourrande.

Commission nationalc de I'informatique ct des libcrtes

II en resulte que compte tenu de la couverture mediatique relative a l'impact econornique du « peer to peer» et a son caractere illegal, il apparait peu probable que les juges du fond admettent la bonne foi d'un internaute pretextant qu'il ne savait pas qu'il procedait a la mise a disposition de fichiers quand bien meme il n'aurait pas deliberement place des ceuvres dans un dossier specialement prevu a cet effet.

II existe ainsi un important faisceau d'indices tendant a considerer que les comportements faisant I'objet des traitements projetes constituent des infractions a la propriete litteraire et artistique et que des lors, les conditions de leur mise en ceuvre fixees a l'article 9-40 de la loi du 6 janvier 1978 modifiee sont reunies,

En tout etat de cause, il convient de souligner que dans le cadre d'un proces civil «fa contrefacon est caracterisee, independamment de toute faute ou mauvaise JOi, par la reproduction, fa representation ou l' expl oitation d 'une a!uvre de I' esprit en violation des droits de propriete qui lui sont attaches. »

B. La conforrnite de la fonctionnalite d'envoi de message au regard de l'article L. 34-1 du code des postes et communications electroniques

Comme cela a ete evoque precedemment, le precede d'envoi de messages d'avertissement aux internautes ne repose pas sur les fonctionnalites de communication integrees dans les logiciels de « peer to peer », mais sur une procedure beaucoup plus complexe qui necessite I'intervention des fournisseurs d'acces a internet. Ces derniers sont charges, sur la base d 'une adresse IP qui leur est cornmuniquee par les societes de perception et de repartition des droits, de retrouver l'abonne auquel ladite adresse IP etait associee" en vue de lui adresser un message d' avertissement.

Ce traitement s'effectue dans Ie cadre d'un contrat de sous-traitance signe entre d'une part, les societes de perception et de repartition des droits, agissant en tant que responsables de traitement et donneurs d'ordres, et d'autre part, les fournisseurs d'acces a internet parties au contrat en tant que sous-traitant en charge de la realisation d'une prestation de services.

La prestation realisee par les fournisseurs d'acces a internet s'effectue dans Ie prolongement de celle de la societe Advestigo et constitue la derniere phase du traitement relatif a l'envoi de messages qui se realise pour Ie compte et sous la responsabilite des societes de perception et de repartition des droits.

Neanmoins, un tel precede, en ce qu'il repose sur I'identification des internautes sur la base de leur adresse IP, pose une difficulte au regard de la decision du Conseil constitutionnel du 29 juillet 2004 (n02004-499 DC), dans laquelle il precise que les donnees recueillies a I'occasion des traitements mis en ceuvre au titre de l'article 9-40 « ne pourront, en vertu de l'article L. 34-1 du code des postes et des communications electrontques, acquerir un caractere nominatlf que dans Ie cadre d'une procedure judiciaire et par rapprochement avec des informations dont la duree de conservation est limitee a un an. »

41 Cette recherche effectuee sur la base de I'adresse IP necessite de prendre en consideration Ie jour et l'heure a laquelle Ie fait generateur a eu lieu (la mise a disposition d'une oeuvre figurant dans la base de reference). En effet, dans certains cas les internautes disposent d'une adresse IP dynamique : c'est a dire qui est susceptible de varier dans Ie temps a une frequence plus ou moins rapide.


, Le non-respect de ce qui represente l'une des garanties essentielles de nature a preserver I' equilibre entre protection des droi ts d' auteur et protection des donnees it caractere personnel apparait, en premiere analyse, constituer un obstacle a la mise en ceuvre de tout dispositif d'envoi de message necessitant I'identification des internautes par les fournisseurs d'acces a internet.

Alertee sur ce point par les services de la CNIL lors de reunions de pre-instruction des dispositifs aujourd'hui soumis a la Commission, la SCPP a adresse a celle-ci une note argumentee de M. Ie professeur Guy Carcassonne.

II Y est indique que les dispositions de I 'article L. 34-1 pre cite ne sauraient remettre en cause les traitements envisages par les societes de perception et de repartition des droits dans la mesure ou :

• Les societes de perception et de repartition des droits n'ont pas acces a l'identite des personnes dont l'adresse IP a de isolee et que les traitements mis en ceuvre en vue d'adresser un message de prevention n'ont pas pour objet de leur communiquer l'identite des personnes concernees ;

• « Les traitements mis en ceuvre afin d'identifier I 'abonne concerne sont automatises, de sorte que, meme au sein du fournisseur d'acces, nulle personne physique n'a, ace stade, ni possibilite de, ni interet a connaitre I 'identite de I 'abonne. »

Sur le premier point, on pourra repondre que le Conseil constitutionnel ne fait pas dependre I' application de la garantie presentee a I' article L. 34-1 precite de la finali te pour laquelle I' identi fication de I' internaute peut etre realisee, II pose Ie principe que les donnees collectees a l'occasion des traitements prevus it l'article 9-40 ne pourront acquerir un caractere nominatif que sous Ie controle de l'autorite judiciaire quelle que soit la finalite poursuivie.V,

S'agissant du second point, Ie dossier de demande d'autorisation adressee it la CNIL ne contient pas Ie detail des mesures d' ordre technique destinees a garantir que les employes des foumisseurs d'acces, ou tout autre tiers non autorise, ne pourront avoir acces it l'identite des abonnes concernes, ni au contenu des messages envoyes alors meme que cela leur a ete demande, Les societes de perception et de repartition des droits ont uniquement joint it leur dossier de demande d'autorisation Ie protocole d'accord devant etre signe avec les fournisseurs d'acces a internet et qui precise les engagements de ces demiers en terme de securite sans en donner le detail.

A cet egard, il convient de relever que I'affirmation selon laquelle « meme au sein du fournisseur d'acces, nulle personne physique n 'a, a ce stade, ni possibilite de, ni interet a connaitre l'identite de I 'abonne », parait erronee dans la mesure ou il est precise dans Ie protocole d'accord precite que: « Ie contractant (le fournisseur d'acces it internet) s'engage, egalement a imposer les memes obligations de corfidentialue it ses salaries et employes etlou co llaborateurs, y compris dans I 'hypothese au ceux-ci prendraient connaissance de ces donnees pour des raisons purement techniques liees par exemple a la maintenance du systeme [. . .} ainsi qu 'a restreindre I 'utilisation des informations confldentielles aux seules personnes impliquees dans la transmission des messages electroniques d'avertissement [. . .}. »

42 En d'autres termes, ce qui n'est pas possible au titre des traitements ayant pour objet la repression ne saurait l'etre pour d'autres traitements quand bien meme Us auraient une finalite de prevention.

Commission nationale de l'Inforrnatiquc ct des libertes

Par ailleurs, M. Ie professeur Guy Carcassonne indique que « l'on peut ainsi rapprocher cette situation de celle dans laquelle une personne (Ie representant des ayants droits) ne pourrait en contacter une autre (I 'abonne) que par un numero de boite postale : si Ie premier doit adresser un message au second, illuifaut s'en remettre ala Poste (les fournisseurs d'acces a internet), sans que cette derniere ni n 'ouvre Ie courrier, nt ne conserve trace de son acheminement, ni n 'ail a se preoccuper de l'identite de celui auquel ille fait parvenir. »

La encore cette affirmation n' est pas exacte dans la mesure ou il est precise dans les conditions generales de vente du service de boite postale offert par la Poste que: « Ie courrier adresse a I 'abonne doit obligatoirement comporter son nom ou denomination commerciale a 1 'exception du courrier adresse a I 'abonne prestataire de service, qui peut dans ce cas mentionner Ie nom de ses clients. L 'adressage sous des initiates, sous des chiffres ou toute indication anonyme, est interdit. »43

L'emetteur doit ainsi necessairement connaitre l'identite du destinataire de la correspondance, ce n'est pas la Poste qui procede a cette identification, contrairement au fournisseur d'acces a internet dans Ie cadre du dispositif mis en eeuvre par les societes de perception et de repartition des droits.

De rneme, I'argument reI atifau fait que Ie prestataire n'a pas acces au contenu du message ne saurait suffire a lui seul : si Ie fournisseur d'acces a internet ne connait pas la nature du fichier mis it disposition par l'internaute, il sait cependant que ce message concerne un de ses abonnes ayant mis a disposition une oeuvre en meconnaissance des droits de la propriete intellectuelle car c'est l'objet meme du traitement.

Par ailleurs, Ie fait que la participation des foumisseurs d'acces it internet it I'envoi de messages de prevention soit explicitement envisagee dans Ie cadre de la charte d'engagement pour Ie developpement de l'offre legale de musique en ligne, Ie respect de la propriete intellectuelle et la lutte contre la piraterie numerique, signee Ie 28 juillet 200444, n'est pas un element decisif car cette charte, sans portee juridique contraignante, a ete signee avant que Ie Conseil constitutionnel ne se prononce sur la modification de loi du 6 janvier 1978 et qu'elle precise explicitement que l'envoi de messages ne pourra se faire que « dans le respect des prescriptions de la loi et de la CNIL. »

II apparait en outre que Particle L. 34-1 exclut en lui-meme la possibilite de mettre en ceuvre les traitements projetes par les societes de perception et de repartition des droits en ce qu'il restreint la possibilite de differer les operations tend ant a effacer ou a rendre anonymes certaines categories de donnees techniques a quatre hypotheses :

• la recherche, la constatation et la poursuite des infractions penales, et ce dans le seul but de permettre, en tant que de besoin, la mise a disposition de l'autorite judiciaire d'informations ;

• les besoins de la facturation et du paiement des prestations de communications electroniques ;

43http://www.laposte.frlsolutionscourrier/rubriq ue.php3 ?id l'ubl'ig ue= I 14&styJe= Rcp&connai tre= I &id mel'e=5 ~

44 Charte signee entre les industriels de la musique, du jeu video et de l'audiovisuel et les fournisseurs d'acces a internet sous l'egide des rninisteres de l'econornie, de l'industrie et de la culture.

Commission nationale de l'Informntique et des libertes

• la commercialisation de services de communications electroniques ou la fourniture de services it. valeur ajoutee par les operateurs de telecommunication eux-memes sous reserve que les personnes concernees y ait expressement consenties ;

• la securisation des reseaux de communication.

La realisation de traitements au nom et pour Ie compte des societes de perception et de repartition des droits ne correspond a aucun de ces cas de figure. L'utilisation surprenante de la notion de sous-traitance ne permet pas de contourner cet obstacle.

11 en resulte qu'en l'etat des textcs, l'envoi de messages de prevention ne saurait s'effectuer via les fournisseurs d'acces a internet sur la base d'un rapprochement entre I'adresse IP des internautes concernes, I'horodatage du comportement generateur et leur identite enregistree au sein de la base de donnees des abonnes,

Par consequent, i I apparatt a votre rapporteur qu' un tel disposi ti f ne saurait etre autorise par la Commission et qu'il conviendrait de recommander aux societes de perception et de repartition des droits d'opter pour un dispositif comparable a celui mis en oeuvre par Ie SELL qui n'implique aucune identification des intemautes.

C. La proportionnalite du dispositif au regard de la finalite poursuivie

Au regard de la loi du 6 janvier 1978 rnodifiee en aout 2004 et plus precisement de son article 6-3°, la Commission a notamment pour mission de s'assurer que les donnees sont adequates, pertinentes et non excessives au regard des finalites pour lesquelles elies sont collectees et de leurs traitements ulterieurs.

11 ne s'agit done pas stricto sensu d'apprecier la proportionnalite de l'ensernble du traitement au regard de la finalite poursuivie, mais uniquement celle des donnees. A cet egard, la collecte des adresses IP des internautes se livrant a la mise a disposition d'ceuvres protegees par les droits d'auteur apparait pertinente, adequate et non excessive en vue de rechercher et de constater des delits de contrefacon commis via les reseaux d'echanges de fichiers denornmes « peer to peer ».

Une fois ce constat effectue, et sous reserve que les autres conditions prevues par la loi du 6 janvier precitee sont remplies", ce qui est Ie cas en l'espece, d'aucuns pourraient avancer que la marge d'appreciation de la Commission sur les traitements qui lui sont soumis est reduite.

Neanmoins, il ressort de la doctrine de la CNIL que Ie controle de proportionnalite auquel elle se livre lors de l'examen des dispositifs qui lui sont soumis porte autant sur la nature des donnees traitees, leur duree de conservation ou les mesures de securite qui leur sont appliques que sur les risques qu'il comporte au regard de Ia vie privee et des libertes individuelles ou publiques.

45 A savoir que [a duree de conservation appliquee aux donnees est adequate, que les mesures destinees a garantir la securite des donnees sont satisfaisantes, que les donnees ont ete collectees pour des finalites determinees, explicites et legitimes et ne sont pas traitees ulterieurernent de maniere incompatible avec ces finalites.


Cette analyse est d'ailleurs confortee par la decision du Conseil constitutionnel precitee, s'agissant de laquelle les commentaires figurant aux 'Cahiers du Conseil constitutionnel' precisent : ({ it appartiendra a celle-ci (la CNIL) de delimiter la teneur de l'information de caractere penal contenue dans ces fichiers, ainsi que sa duree de conservation. II lui incombera egalement de s'assurer de I'adequation de ces traitements aux stricts besoins de la luffe contre la contre(acon. »

Par aiIleurs, c'est dans cet esprit que la Commission a precede a l'examen du dispositif presente par le SELL, s'agissant duquel e1le avait considere que les traitements presentes etaient proportionnes a la finalite poursuivie, dans la mesure ou ils n'avaient pas pour objet de permettre un fichage systematique et exhaustif des internautes procedant a I' echange de fichiers via les reseaux « peer to peer », mais 1a realisation d'actions ponctuelles et ciblees strictement limitees aux besoins de la lutte contre la contrefacon,

II convient des lors de proceder a I' examen du dispositif presente par les societes de perception et de repartition des droits dans les memes conditions et avec le meme niveau d'exigence.

1. Un dispositif sans commune mesure avec celui du SELL

En premier lieu, il doit etre rei eve que la ou le SELL usait d'un critere qualitatif pour selectionner les internautes susceptibles de faire I' objet de poursui tes, les societes de perception et de repartition des droits font application d'un critere purement quantitatif.

II ne s'agit plus de poursuivre les internautes responsables de 1a premiere mise a disposition sur Ie reseau d'une ceuvre et/ou ayant mis a disposition une ceuvre non encore commercialisee et done a I'origine merne du prejudice, mais de poursuivre les internautes mettant a disposition un nombre d'ceuvres protegees superieur a un seuil unilateralement fixe par les societes de perception et de repartition des droits.

Ce choix d'un critere plus ouvert que ce1ui adopte par Ie SELL a pour consequence que Ie nombre d'internautes pouvant potentiellement faire l'objet de poursuites est plus eleve que, a fortiori, dans la me sure ou :

•

si Ie parametrage du dispositifne permettait pas d'isoler au moins deux internautes par jour en vue d'engager des poursuites, les societes de perception et repartition des droits se reservent la possibilite de faire abstraction des seuils indiques a la CNIL et de selectionner des adresses IP parmi celles mettant Ie plus de fichiers a disposition" ;

•

contrairement au SELL dont Ie dispositif ne concernait que quatre protocoles de communication « peer to peer », les societes de perception et de repartition des droits souhaitent etendre leur surveillance a I'ensemble des protocoles accessibles sur internet.

46 Sur la base de cette indication, on peut estimer, , que I'objectif des societes de perception et de repartition des droits est de constituer des dossiers en vue d'engager des poursuites a !'encontre d'au moins 730 internautes par an (365 x 2). Ce resultat doit encore eire multiplie par quatre (nombre des societes de perception et de repartition des droits souhaitant mettre en ceuvre un dispositif de recherche et de constatation des infractions), en vertu de quoi on aboutit a un total de 2920 internautes pouvant, a minima, faire ['objet de poursuites. Ce chiffre est a rapprocher de celui de 750 000 utilisateurs reguliers du peer-to-peer (ej supra).

Commission nationalc de l'informatique et des libertes

Ce constat est egalement renforce par le fait qu'il ne s'agit plus seulement d'un organisme mais de quatre, mettant en ceuvre chacun pour leur propre compte un dispositif similaire et a la merne echelle. A cet egard, on peut s'interroger sur la necessite de demultiplier les traitements dans Ia mesure OU a e1les seules la SACEM et la SCPP representent l'ensernble du catalogue des eeuvres et des ayants droits a proteger,

Bien entendu, it faut avoir a l'esprit que Ie piratage des jeux videos non encore publics est egalement sans commune mesure avec Ie telechargement massif d'ceuvres musicales parfaitement accessibies dans Ie commerce y compris Ie commerce en ligne.

2. Un dispositif permettant l'exercice de poursuites civiles et penales a grande echelle

Outre, la comparaison avec Ie dispositif mis en ceuvre par le SELL qui ne saurait constituer a lui seul un referentiel, il convient d'evaluer le dispositif ala lumiere des debats parlementaires concernant l'article 9-40 de la loi du 6 janvier 1978 modifiee,

A ce titre, it doit etre souligne que, notre collegue, M. Francis Delattre, rapporteur du texte it I' Assemblee nationale, a precise a deux reprises, lors de Ia seconde lecture du projet de loi precite devant l'Assemblee nationale, que les traitements dont il est question a l'article 9-40 ont pour finalite de « recenser les delits d 'habitudes» et non « le piratage de deux ou trois enregistrements pour un usage domestique [ .. .] (qui) n 'est pas tres grave ».

De meme, M. Alex TUrk, rapporteur au Senat, a indique que « sur le plan ethique, on ne peut peut-etre pas mettre au meme niveau Ie cas du jeune qui realise une copie avec Ie piratage organise. Mais il faut tout de meme fixer un cadre juridique afin de distlnguer clairement ce qui est legal de ce qui ne l'est pas s' .

II resulte des precisions apportees par les deux rapporteurs du texte devant Ie Parlement que les traitements mis en ceuvre dans Ie cadre de l'article 9.4 ne devraient pas avoir pour finalite la surveillance systematique et continue de I'ensemble des echanges effectues par les internautes it I'occasion de l'utilisation des reseaux «peer to peer », mais la realisation d'actions ponctuelles et ciblees, sans pour autant qu'il soit possible d'aboutir it une distinction entre les contrefacons a usage personnel et celles effectuees dans Ie cadre d'un « trafic » en vue de revente.

A cet egard, il est possible de considerer que Ie volet repressif du dispositif prevu par les societes de perception et de repartition des droits a pour objet la realisation d'actions ciblees en ce qu'elles ne visent que les internautes mettant a disposition un nombre d'ceuvres protegees superieur a un seuil predetermine, puisque les seuils retenus sont de 500 ceuvres pour les poursuites civiles et 1000 pour les poursuites penales, On est loin des chiffres avances par M. Francis Delattre.

On peut en revanche s'interroger sur le point de savoir si le dispositif projete ne constitue pas un outil autornatise de surveillance permanente des reseaux « peer to peer» deploye a grande echelle et pouvant aboutir a la systematisation des poursuites civiles et penales,

47 Senat, seconde lecture.

Commission nationale de l'Informatique et des libertes

La reponse a cette question se trouve dans la strategie qu'auront decide d'appliquer les societes de perception et de repartition des droits.

A tout le moins la Commission ne pourra, si elle donne son autorisation, s'en remettre totalement aux declarations d'intention effectuees par les societes de perception et de repartition des droits : « d'ici la fin de l'annee, plus de 90% des actions menees par la SCPP devraient etre des actions de prevention, les actions de nature repressive ayant vocation a etre limitees en nombre. [. . .) L 'experience de la SCPP en matiere de lutte contre la piraterie indique qu'un nombre limite d'actions au penal peut permettre de reduire considerablement la piraterie dans un pays ». II lui appartiendra de veiller, eventueliement par un controle sur place, que le systeme ne derive pas vers une action repressive massive qui iI faut bien le dire se heurterait a I'incapacite des tribunaux correctionnels a absorber ce contentieux,

On soulignera en outre que la SCPP precise dans sa demande d'autorisation qu'elle a engage depuis le mois d'octobre 2004 une cinquantaine d'actions contre des internautes, ce qui implique, d'une part, qu'elle dispose deja de moyens lui permettant de mener des actions repressives ponctuelles et ciblees, d'autre part, que ces poursuites sont effectuees sur la base de donnees collectees sur internet, impliquant a minima des traitements non automatises, n'ayant pas fait I'objet d'une autorisation de la CNIL.

Enfin, on peut s'interroger sur Ie point de savoir si la methode utilisee pour recueillir les elements du dossier sur lequel reposeront les poursuites civiles ou penales (15 jours de requetes sur un internaute preselectionnes), est compatible avec Ie principe de Ioyaute dans la recherche des preuves qui « a pour objet d'interdire a celui qui administre la preuve I 'utilisation de precedes deloyaux, de ruses ou de stratagemes.»48

Sur ce point, on relevera toutefois que la Commission sur Ia propriete litteraire et artistique et les libertes individuelles, constituee au sein du Conseil superieur de la propriete litteraire et artistique estime que « l'irfraction consistant dans la mise it disposition du public sans autorisation, sur l'Internet, d'ceuvres sousforme numerique dolt certainement, en vertu de la jurisprudence la mieux etablie en matiere de droit de representation, etre regardee comme constituee alors meme qu 'aucune consultation n 'est effectivement intervenue : dans ces conditions, on peut valablement soutenir que la consultation au Ie telechargemeru de l'ceuvre par un agent assermente n 'a aucun role dans la commission de l'infraction, qui preexiste et

'il fai 49

qu 1 ne ait que constater. »

48 J. Buisson, VO Preuve, Rep. Pen. Dalloz, fevrier 2003, n° 87.

49 A vis nO 2004-1 relatif Ii la propriete I itteraire et aux libertes indi viduelles, adopte Ie 2 mars 2004 par Ie Conseil superieur de la propriete litteraire et artistique.


3. Examen du dispositif au regard de la position adoptee par Ie G29

Dans un document de travail « sur les questions de protection des donnees liees aux drofts de propriete intellectuelle », adoptee le 18 janvier 2005, le G29 indique que « meme si tout individu a naturellement le droit d'exploiter des donnees judiciaires dans Ie cadre de litiges Ie concernant, Ie principe ne va pas jusqu 'a permettre l'examen approfondi, la collecte et la centralisation de donnees a caractere personnel par des tiers, y compris, no tamment, la recherche systematique a grande echelle, comme Ie balayage d'Internet ou la demande de communication de donnees personnelles detenues par d'autres acteurs, tels que les fournisseurs d'acces ou les controleurs des annuaires Who is. De telles enquetes sont de la competence des autorites judictaires. »

La mise en ceuvre d'un dispositif de recherche et de constatation des infractions a la propriete intellectuelle sur internet, tel qu'il est concu par les societes de perception et de repartition des droits, apparait des lors peu compatible l'opinion exprimee dans ce document.

En outre, il est precise que « Ie groupe de travail constate que la recente directive 20041481CE du 28 avril 2004 relative au respect des droits de propriete intellectuelle etabllt les conditions dans lesquelles les autorites judiciaires doivent demander des donnees a caractere personnel. Ces autorites peuvent ordonner, sur demande justifiee et proportionnee, la communication d'lrformations sur l'origine et les reseaux de distribution des marchandises ou des services qui portent aueinte a un droit de propriete intellectuelle, lorsque cette atteinte presente une echelle commerciale et sans prejudice des principes relatifs ala confidentialite des sources d'irformation et du trattement des donnees a caractere personnel. Un juste equilibre doit etre trouve entre les interets legitimes des detenteurs de droits d'auteur et des individus concernes. Les criteres de I 'avantage commercial lie a I 'infraction peuvent etre determinants a cet egard. »

II convient cependant de souligner que ce document de travail n' a aucun caractere contraignant et que la Commission doit tenir compte des specificites liees a Ia legislation francaise,


Conclusion

S'agissant de l'aspect prevent if du dispositif, votre rapporteur propose it la Commission de ne pas autoriser sa mise en ceuvre tel qu'il est actuellement envisage par les societes de perception et de repartition des droits dans la mesure ou Ie precede d'envoi de message repose sur I' identification des internautes par leur fournisseur d'acces a internet et apparait ainsi contraire it Particle L. 34-1 du Code des postes et communications electroniques et a la lecture qui en est faite par Ie Conseil constitutionnel dans sa decision 29 juillet 2004 (n02004-499 DC).

Votre rapporteur propose egalement de recommander aux societes de perception et de repartition des droits d'avoir recours a un precede d'envoi de messages ne reposant pas sur l'idemification des internautes comparable a celui presente par Ie SELL

S'agissant de l'aspect du dispositif devant permettre les poursuites civiles ou penales, votre rapporteur propose it la Commission de considerer qu'en l'espece les traitements relatifs a la recherche et it la constatation des infractions a la propriete intellectuelle ne sont pas proportionnes a la finalite poursuivie dans la mesure ou ils n'ont pas pour objet de permettre la realisation d' actions ponctuelles strictement limitees aux besoins de la lutte contre Ia contrefacon mais peuvent aboutir au contraire a une surveillance exhaustive et continue des reseaux « peer to peer » en vue de permettre des poursuites civiles et penales a grande echelle,

--:--

Ce choix resulte du fait qu'en presence de traitements pouvant aboutir a une rupture

d'equilibre entre respect des droits d'auteur et respect de Ia protection des donnees a caractere personnel, le benefice du doute doit jouer en faveur de la protection de la vie privee et des libertes individuelles, a fortiori, lorsque 8 millions de personnes sont potentiellement concernees.


Liste des annexes

1. Projet de deliberation 2005~XX du 18 octobre 2005 portant refus d'autorisation de la mise en oeuvre par la Societe des Auteurs, Compositeurs et Editeurs de Musique (SACEM) d'un traitement de donnees a caractere personnel ayant pour finalites, d'une part, la constatation des dellts de contrefacon commis via les reseaux d'echanges de fichiers denommes « peer to peer », d'autre part, l'envoi de messages pedagogiques informant les internautes sur les sanctions prevues en matiere de delit de contrefaeon.

2. Projet de deliberation 2005-XX du 18 octobre 2005 portant refus d'autorisation de la mise en oeuvre par la Societe pour l'administration du Droit de Reproduction Mecanique (SDRM) d'un traitement de donnees it caractere personnel ayant pour finalites, d'une part, la constatation des delfts de contrefaeon commis via les reseaux d'echanges de fichiers denemmes « peer to peer », d'autre part, I'envoi de messages pedagoglques informant les internautes sur les sanctions prevues en matiere de delit de contrefaeon,

3. Projet de deliberation 2005-XX du 18 octobre 2005 portant refus d'autorisation de la mise en oeuvre par la Societe Civile des Producteurs Phonographiques (SCPP) d'un traitement de donnees it caractere personnel ayant pour finalites, d'une part, la constatation des delits de contrefaeon commis via les reseaux d'echanges de fichiers denommes « peer to peer», d'autre part, l'envoi de messages pedagogiques informant les internautes sur les sanctions prevues en matiere de delit de eontrefacon,

4. Projet de deliberation 2005-XX du 18 octobre 2005 portant refus d'autorisation de la mise en oeuvre par la Societe Civile des Producteurs de Phonogrammes en France (SPPF) d'un traitement de donnees it caraetere personnel ayant pour finalites, d'une part, la constatation des delits de eontrefacon commis via les reseaux d'echanges de fichiers denommes « peer to peer », d'autre part, I'envoi de messages pedagogiques informant les internautes sur les sanctions prevues en matiere de dellt de contrefaeon,

Commission nationale de l'Informatique et des libcrtes

Projet de delibtkation 200S-XX du 18 octobre 2005 portant refus d'autorisation de la mise en oeuvre par la Societe des Auteurs, Compositeurs et Editeurs de Musique (SACEM) d'un traitement de donnees it caractere personnel ayant pour flnalites, d'une part, la constatation des delits de contrefaeon commis via les reseaux d'echanges de fichiers denommes « peer to peer », d'autre part, I'envoi de messages pedagoglques informant les internautes sur les sanctions prevues en matiere de delit de contrefaeon,

La Commission nationale de l'informatique et des Iibertes ;

Vu la convention n0108 du Conseil de I'Europe pour la protection des personnes a l'egard du traitement automatise des donnees a caractere personnel ;

Vu la directive 95/46/CE du Parlement europeen et du Conseil du 24 octobre 1995 relative a la protection des personnes physiques a }' egard du traitement de donnees a caractere personnel et a la libre circulation de ces donnees;

Vu la loi n °78-17 du 6 janvier 1 978 relative a I' informatiq ue, aux fichiers et aux li bertes modifiee par la loi n02004-801 du 6 aout 2004 relative a la protection des personnes physiques a I'egard des traitements de donnees a caractere personnel, et notamment son article 25-3° ;

Vu la demande d'autorisation, presentee par Ia Societe des Auteurs, Compositeurs et Editeurs de Musique (SACEM) relative a la mise en ceuvre d'un traitement de donnees a caractere personnel ayant pour finalites, d'une part, la constatation des delits de contrefacon commis via les reseaux d'echanges de fichiers denommes « peer to peer », d'autre part, I'envoi de messages pedagogiques informant les internautes sur les sanctions prevues en matiere de delit de contrefacon ;

Apres avoir entendu M. Emmanuel de Givry, commissaire en son rapport, et Mme Pozzo di Borgo, commissaire du gouvernement adjoint en ses observations.

Formule les observations suivantes :

La Societe des Auteurs, Compositeurs et Editeurs de Musique (SACEM) a saisi la Commission nationale de l'informatique et des libertes d'une demande d'autorisation relative a la mise en ceuvre d 'un traitement de donnees a caractere personnel ayant pour finalites, d'une part, la constatation des delits de contrefacon commis via les reseaux d'echanges de fichiers denommes « peer to peer », d' autre part, l' envoi de messages pedagogiques informant les internautes sur les sanctions prevues en matiere de delit de contrefacon,

Commission nationnle de l'informatique et des Iibertes

Ce trai tement s' inscrit dans Ie cadre de I' article 9-40 de la loi d u 6 janvier 1978 modifiee qui dispose que les personnes morales mentionnees aux articles L. 321-1 et L. 331-1 du code de Ia propriete intellectuelle, agissant au titre des droits dont elles assurent la gestion ou pour le compte des victimes d'atteintes aux droits prevus aux Iivres Ier, II et III du meme code aux fins d'assurer la defense de ces droits, peuvent proceder au traitement de donnees a caractere personnel relatives aux infractions.

La Commission considere qui il a lieu de faire application des dispositions de I'article 25-30 de la loi du 6 janvier 1978 rnodifiee en aout 2004 qui soumet a autorisation les traitements portant sur des donnees relatives aux infractions, condamnations ou mesures de surete.

La SACEM est une societe de perception et de repartition des droits d'auteur et droits voisins telle que visee a l' article L. 321-1 d u code de la propriete intellectuelle et fait des lors partie des organismes habilites aux termes de la loi a mettre en ceuvre les traitements prevus a I' article 9_40 precite,

Outre la perception et la repartition des redevances provenant de l'exercice des droits patrimoniaux de ses membres, la SACEM a pour objet la defense leurs interets materiels et moraux ou de ceux de leurs ayants droits, Les traitements presentes par la SACEM ne porteront que sur 1a protection des ceuvres appartenant au catalogue des membres dont elle defend les interets,

S'agissant de Ia finalite d'envoi de messages pedagogiques informant les internautes sur les sanctions prevues en matiere de delit de contrefacon, le dispositif soumis a la Commission devrait fonctionner en deux temps.

Une premiere etape, initiee it distance par des agents assermentes, serait effectuee par une societe prestataire de services. Elle aurait pour objet de selectionner les internautes qui, ayant mis a disposition un nombre d'ceuvres inferieur a un seuil predetermine, se verraient adresser un message de prevention. Cette selection effectuee sur la base des adresses IP resulterait des requetes effectuees sur les reseaux « peer to peer» a partir du titre, du nom de l'auteur ou de l'annee de production des ceuvres. Une fois ce tri acheve, le dispositif devrait permettre d'identifier Ie fournisseur d'acces internet en charge de la gestion des adresses IP relevees,

La seconde etape se deroulerait chez les fournisseurs d'acces internet. Les messages d'avertissements leur seraient adresses aftn qu'ils puissent les relayer sous la forme de l'envoi d'un courrier electronique a l'internaute attributaire de l'adresse IP relevee lors de la phase d'investigation. Chaque message envoye devrait auparavant etre personnalise par la SACEM et a ce titre, ferait reference a la nature de l'ceuvre mise a disposition ainsi qu'a la date et a I'heure a laquelle cette mise a disposition a ete relevee.

Ainsi, a reception des messages adresses par la SACEM, les fournisseurs d'acces a internet devraient pro ceder, au maximum dans un delai de vingt-quatre heures, a l'authentification et au decryptage des messages, a la recherche du numero client correspond ant a l'adresse IP horodatee dans le fichier des logs de connexions et deconnexions des clients, it la transmission du message a l'abonne, a I'emission d'un avis de traitement adresse a 1a SACEM et a 1a destruction de toutes donnees relatives a l'envoi des messages et de toutes traces de cet envoi.

Commission nationale de I'Infurrnatique et des libertes

S'agissant de la finalite relative a la constatation des delits de contrefacon commis via les reseaux d'echanges de fichiers denommes « peer to peer », la SACEM devrait avoir recours aux services d'un prestataire qui dispose des moyens techniques necessaires a la poursuite de cette finalite, Le disposltif'utilise a cette occasion reposerait sur une technologie qui consiste a calculer pour chaque ceuvre musicale une empreinte numerique unique, insensible aux alterations qu'aurait pu subir l'ceuvre concernee, Cette technologie perrnettrait de s'assurer que Ie fichier mis a disposition par un internaute correspond bien a une ceuvre musicale protegee. En I'espece, la SACEM transmettrait a son prestataire de service des fichiers musicaux originaux afin qu'il calcule pour chacun d'eux une empreinte nurnerique unique destinee a alimenter une base de donnees de reference.

Une fois cette base de donnees de reference creee, les agents asserrnentes des societes de perception et de repartition des droits declencheraient des phases d'inspection grace it un logiciel permettant d' effectuer des requetes sur les reseaux « peer to peer» it partir du titre, du nom de l'auteur ou de I'annee de production des oeuvres figurant dans la base de donnees de reference.

En reponse, les agents assermentes obtiendraient la liste des adresses IP des intemautes mettant it disposition des fichiers musicaux dont les caracteristiques correspondent a la requete effectuee. Apres telechargement, ces fichiers seraient confrontes a I' empreinte numerique unique de l'ceuvre de reference figurant dans la base de donnee afin de determiner si les deux comcident.

A l'issue de cette phase, les agents asserrnentes de la SACEM devraient lancer une phase de constitution de preuves d'une duree de quinze jours au cours de laquelle des requetes seraient effectuees specifiquernent sur l'adresse IP des internautes s'agissant desquels la phase d'inspection aura revele qu'ils mettent a disposition un nombre d'ceuvres superieur a un seuil preetabii, A echeance de ces quinze jours, deux nouveaux seuils seraient appliques afin de departager Ies internautes devant faire l'objet de poursuites civiles de ceux retenus pour des poursuites penales,

La Commission considere qu' au regard de I' article L. 34-1 du code des postes et des communications electroniques et de la lecture qui en est faite par Ie Conseil constitutionnel dans sa decision n02004-499 DC du 29 juillet 2004, dans laquelle il precise que les donnees recueillies a I'occasion des traitements mis en ceuvre au titre de l'article 9-4°ne pourront « acquerir un caractere nominatif que dans Ie cadre d'une procedure judictaire et par rapprochement avec des informations dont fa duree de conservation est limitee a un an», un tel traitement ne saurait s'effectuer via les foumisseurs d'acces it internet sur la base d'un rapprochement entre l'adresse IP des internautes concernes, l'horodatage du comportement generateur et leur identite enregistree au sein de la base de donnees des abonnes,

En outre, la Commission de considerer qu' en l' espece les traitements relatifs it Ia recherche et it la constatation des infractions it la propriete intellectuelle ne sont pas proportionnes a la finalite poursuivie dans la mesure ou its n'ont pas pour objet de permettre 1a realisation d'actions ponctuelles strictement limitees aux besoins de la lutte contre la contrefacon mais peuvent aboutir au contraire a une collecte massive de donnees it caractere personnel sur internet et a une surveillance exhaustive et continue des reseaux d'echanges de fichiers denornmes « peer to peer ».


En presence de traitements comportant des risques particuliers pour 1a protection des Iibertes et des droits fondamentaux de 1a personne et pouvant entrainer une rupture d'equilibre entre respect des droits d'auteur et respect de la protection des donnees it caractere personnel au detriment de cette derniere categorie, la Commission considere necessaire de faire primer la protection de la vie privee et des libertes individuelles.

N'autorise pas dans ces conditions la SACEM it mettre en ceuvre un traitement de donnees it caractere personnel ayant pour finalites d'une part, la constatation des delits de contrefacon commis via les reseaux d'echanges de fichiers denommes «peer to peer », d'autre part, l'envoi de messages pedagogiques informant les internautes sur les sanctions prevues en matiere de de lit de contrefacon.

Le president

Alex TUrk


Projet de deliberation 2005-XX du 18 octobre 2005 portant refus d'autorisation de la mise en oeuvre par la Societe pour I'administration du Droit de Reproduction Mecanique (SDRM) d'un traitement de donnees a caractere personnel ayant pour finalites, d'une part, la constatation des delits de contrefaeon commis via les reseaux d'echanges de fichiers denommes « peer to peer », d'autre part, I'envoi de messages pedagogiques informant les internautes sur les sanctions prevues en matiere de delit de contrefaeon.

La Commission nationale de l'informatique et des libertes ;

Vu la convention n0108 du Conseil de I'Europe pour la protection des personnes a l'egard du traitement automatise des donnees it caractere personnel ;

Vu la directive 95/461CE du Parlement europeen et du Conseil du 24 octobre 1995 relative a la protection des personnes physiques a I'egard du traitement de donnees it caractere personnel et a la libre circulation de ces donnees;

Vu la loi n078-17 du 6 janvier 1978 relative a I'informatique, aux fichiers et aux libertes modifiee par la loi n02004-801 du 6 aoOt 2004 relative it la protection des personnes physiques it l'egard des traitements de donnees a caractere personnel, et notamment son article 25-3 o ;

Vu la demande d'autorisation, presentee par Ia Societe pour l'administration du Droit de Reproduction Mecanique (SDRM) relative it la mise en ceuvre d'un traitement de donnees a caractere personnel ayant pour finalites, d'une part, la constatation des delits de contrefacon commis via les reseaux d'echanges de fichiers denommes « peer to peer », d'autre part, I'envoi de messages pedagogiques informant les internautes sur les sanctions prevues en matiere de delit de contrefacon ;



La Societe pour I'administration du Droit de Reproduction Mecanique (SDRM) a saisi la Commission nationale de I'informatique et des libertes d'une demande d'autorisation relative a la mise en ceuvre d'un traitement de donnees a caractere personnel ayant pour finalites, d'une part, la constatation des delits de contrefacon commis via les reseaux d'echanges de fichiers denommes « peer to peer », d'autre part, l'envoi de messages pedagogiques informant les internautes sur les sanctions prevues en matiere de del it de contrefacon.

Commission nationale de l'Informatique et des libertes

Ce traitement s' inscri t dans le cadre de l' article 9-40 de la loi du 6 janvier 1978 modifiee qui dispose que les personnes morales rnentionnees aux articles L. 321-1 et L. 331-1 du code de la propriete intellectuelle, agissant au titre des droits dont elles assurent la gestion ou pour Ie compte des victimes d'atteintes aux droits prevus aux livres Ier, II et III du meme code aux fins d'assurer la defense de ces droits, peuvent proceder au traitement de donnees a caractere personnel relatives aux infractions.

La Commission considere qui il a lieu de faire application des dispositions de l'article 25-30 de Ia loi du 6 janvier 1978 rnodifiee en aout 2004 qui soumet a autorisation les traitements portant sur des donnees relatives aux infractions, condamnations ou mesures de surete,

La SDRM est une societe de perception et de repartition des droits d'auteur et droits voisins telle que visee a l'article L. 321-1 du code de la propriete intellectuelle et fait des lors partie des organismes habilites aux termes de la loi a mettre en ceuvre les traitements prevus a l'article 9-40 precite,

Outre la perception et la repartition des redevances provenant de l'exercice des droits patrimoniaux de ses membres, Ia SDRM a pour objet la defense leurs interets materiels et moraux ou de ceux de leurs ayants droits. Les traitements presentes par la SDRM ne porteront que sur la protection des ceuvres appartenant au catalogue des membres dont elle defend les interets.

S'agissant de la finalite d'envoi de messages pedagogiques informant les internautes sur les sanctions prevues en matiere de delit de contrefacon, Ie dispositif soumis a la Commission devrait fonctionner en deux temps.

Une premiere etape, initiee a distance par des agents assermentes, serait effectuee par une societe prestataire de services. Elle aurait pour objet de selectionner les internautes qui, ayant mis a disposition un nombre d'ceuvres inferieur a un seuil predetermine, se verraient adresser un message de prevention. Cette selection effectuee sur la base des adresses IP resulterait des requetes effectuees sur les reseaux « peer to peer » a partir du titre, du nom de I'auteur ou de l'annee de production des oeuvres. Une fois ce tri acheve, Ie dispositif devrait permettre d'identifier Ie fournisseur d'acces internet en charge de Ia gestion des adresses IP relevees,

La seconde etape se deroulerait chez les fournisseurs d'acces internet. Les messages d'avertissements leur seraient adresses afin qu'ils puissent Ies relayer sous la forme de l'envoi d' un courrier electronique a I' internaute attributaire de I' adresse IP relevee lors de la phase d'investigation. Chaque message envoye devrait auparavant etre personnalise par la SDRM et a ce titre, ferait reference a la nature de l'c:euvre mise a disposition ainsi qu'a Ia date et a I 'heure a laquelle cette mise a disposition a ete relevee.

Ainsi, a reception des messages adresses par la SDRM, les fournisseurs d'acces a internet devraient proceder, au maximum dans un delai de vingt-quatre heures, a I'authentification et au decryptage des messages, a la recherche du numero client correspondant a I'adresse IP horodatee dans le fichier des logs de connexions et deconnexions des clients, a Ia transmission du message it l'abonne, it l'emission d'un avis de traitement adresse a Ia SDRM et it la destruction de toutes donnees relatives it I'envoi des messages et de toutes traces de cet envoi.

Commission nationale de Pinformatique et des lihertes

S'agissant de la finalite relative a la constatation des delits de contrefacon commis via les reseaux d'echanges de fichiers denommes « peer to peer », la SDRM devrait avoir recours aux services d'un prestataire qui dispose des moyens techniques necessaires a la poursuite de cette finalite, Le dispositif'utilise it cette occasion reposerait sur une technologie qui consiste a calculer pour chaque ceuvre musicale une empreinte numerique unique, insensible aux alterations qu'aurait pu subir l'oeuvre concernee. Cette technologie permettrait de s'assurer que Ie fichier mis a disposition par un internaute correspond bien a une ceuvre musicale protegee. En l'espece, la SDRM transmettrait a son prestataire de service des fichiers musicaux originaux afin qu'il calcule pour chacun d'eux une empreinte numerique unique destinee it alimenter une base de donnees de reference.

Une fois cette base de donnees de reference creee, les agents asserrnentes des societes de perception et de repartition des droits declencheraient des phases d'inspection grace it un logiciel permettant d'effectuer des requetes sur les reseaux « peer to peer» a partir du titre, du nom de l'auteur ou de l'annee de production des ceuvres figurant dans la base de donnees de reference.

En reponse, les agents asserrnentes obtiendraient la liste des adresses IP des internautes mettant it disposition des fichiers musicaux dont les caracteristiques correspondent a la requete effectuee. Apres telechargement, ces fichiers seraient confrontes a I'empreinte numerique unique de I' ceuvre de reference figurant dans la base de donnee afin de determiner si les deux corncident.

A l'issue de cette phase, les agents assermentes de la SDRM devraient lancer une phase de constitution de preuves d'une duree de quinze jours au cours de laquelle des requetes seraient effectuees specifiquernent sur I'adresse IP des internautes s'agissant desquels la phase d'inspection aura revere qu'ils mettent a disposition un nombre d'oeuvres superieur a un seuil preetabli, A echeance de ces quinze jours, deux nouveaux seuils seraient appliques afin de departager les internautes devant faire I'objet de poursuites civiles de ceux retenus pour des poursuites penales,

La Commission considere qu'au regard de I'article L. 34-1 du code des postes et des communications electroniques et de la lecture qui en est faite par Ie Conseil constitutionnel dans sa decision n02004-499 DC du 29 juillet 2004, dans laquelle iI precise que les donnees recueillies a I'occasion des traitements mis en eeuvre au titre de l'article 9-4°ne pourront « acquerir un caractere nominatif que dans Ie cadre d'une procedure judiciaire et par rapprochement avec des informations dont la duree de conservation est limitee it un an », un tel traitement ne saurait s'effectuer via les fournisseurs d'acces a internet SUi' la base d'un rapprochement entre l'adresse IP des internautes concernes, I'horodatage du comportement generateur et leur identite enregistree au sein de la base de donnees des abonnes,

En outre, la Commission de considerer qu'en l'espece les traitements relatifs a la recherche et a la constatation des infractions a 1a propriete intellectuelle ne sont pas proportionnes a la finalite poursuivie dans la mesure ou ils n'ont pas pour objet de permettre la realisation d'actions ponctuelles strictement limitees aux besoins de la lutte contre la contrefacon mais peuvent aboutir au contraire a une collecte massive de donnees a caractere personnel sur internet et it une surveillance exhaustive et continue des reseaux d'echanges de fichiers denommes « peer to peer ».

Commission nationale de l'Informatique et des Iibertes

En presence de traitements comportant des risques particuliers pour la protection des libertes et des droits fondamentaux de la personne et pouvant entrainer une rupture d'equilibre entre respect des droits d' auteur et respect de la protection des donnees it caractere personnel au detriment de cette derniere categorie, la Commission considere necessaire de faire primer la protection de la vie privee et des Iibertes individuelles.

N'autorise pas dans ces conditions la Societe pour l'administration du Droit de Reproduction Mecanique (SDRM)it mettre en ceuvre un traitement de donnees it caractere personnel ayant pour finalites d'une part, la constatation des delits de contrefacon commis via les reseaux d'echanges de fichiers denommes « peer to peer », d'autre part, l'envoi de messages pedagogiques informant les internautes sur les sanctions prevues en matiere de delit de contrefacon.

Le president

Alex TUrk

Commission nationalc de I'informatiquc ct des libertes

Projet de deliberation 2005-XX du 18 octobre 2005 portant refus d'autorisation de la mise en oeuvre par la Societe Civile des Producteurs Phonographiques (SCPP) d'un traitement de donnees a caractere personnel ayant pour flnalltes, d 'nne part, la constatation des delits de contrefaeon commis via les reseaux d'echanges de fichiers denommes « peer to peer», d'autre part, l'envoi de messages pedagogiques informant les internautes sur les sanctions prevues en matiere de delit de contrefaeon,


Vu la convention n0108 du Conseil de l'Europe pour la protection des personnes a l'egard du traitement automatise des donnees a caractere personnel;

Vu la directive 95/461CE du Parlement europeen et du Conseil du 24 octobre 1995 relative a la protection des personnes physiques a l'egard du traitement de donnees a caractere personnel et a la libre circulation de ces donnees;

Vu la loi n078-17 du 6 janvier 1978 relative a l'informatique, aux fichiers et aux libertes modifiee par la loi n02004-801 du 6 aout 2004 relative a la protection des personnes physiques it l'egard des traitements de donnees it caractere personnel, et notamment son article 25-3° ;

Vu la demande d'autorisation, presentee par la Societe Civile des Producteurs Phonographiques (SCPP) relative a la mise en ceuvre d'un traitement de donnees a caractere personnel ayant pour finalites, d'une part, la constatation des delits de contrefacon commis via les reseaux d'echanges de fichiers denommes « peer to peer », d'autre part, l'envoi de messages pedagogiques informant les internautes sur les sanctions prevues en matiere de delit de contrefacon ;



La Societe Civile des Producteurs Phonographiques (SCPP) a saisi la Commission nationale de l'informatique et des libertes d'une demande d'autorisation relative it la mise en ceuvre d'un traitement de donnees a caractere personnel ayant pour finalites, d'une part, la constatation des delits de contrefacon commis via les reseaux d'echanges de fichiers denommes «peer to peer », d' autre part, I' envoi de messages pedagogiques informant les internautes sur les sanctions prevues en matiere de del it de contrefacon.


Ce traitement s'inscrit dans le cadre de I'article 9AO de la loi du 6 janvier 1978 rnodifiee qui dispose que les personnes morales mentionnees aux articles L. 321-1 et L. 331-1 du code de la propriete intellectuelle, agissant au titre des droits dont elles assurent la gestion ou pour Ie compte des victimes d'atteintes aux droits prevus aux livres Ier, II et III du meme code aux fins d'assurer la defense de ces droits, peuvent proceder au traitement de donnees it caractere personnel relatives aux infractions.

La Commission considere qui it a lieu de faire application des dispositions de l'article 25-3° de la loi du 6 janvier 1978 modifiee en aout 2004 qui soumet it autorisation les traitements portant sur des donnees relatives aux infractions, condamnations ou mesures de surete.

La SCPP est une societe de perception et de repartition des droits d'auteur et droits voisins telle que visee a l' article L. 321-1 du code de la propriete intellectuelle et fait des lors partie des organismes habilites aux termes de la loi a mettre en ceuvre les traitements prevus a I 'article 9-4° precite.

Outre la perception et la repartition des redevances provenant de I' exercice des droits patrimoniaux de ses membres, fa SCPP a pour objet la defense leurs interets materiels et moraux ou de ceux de leurs ayants droits. Les traitements presentee par la SCPP ne porteront que sur la protection des ceuvres appartenant au catalogue des membres dont elle defend les interets.

S'agissant de fa finalite d'envoi de messages pedagogiques informant les internautes sur les sanctions prevues en matiere de delit de contrefacon, Ie dispositif soumis it la Commission devrait fonctionner en deux temps.

Une premiere etape, initiee a distance par des agents asserrnentes, serait effectuee par une societe prestataire de services. Elle aurait pour objet de selectionner les internautes qui, ayant mis a disposition un nombre d'ceuvres inferieur a un seuil predetermine, se verraient adresser un message de prevention. Cette selection effectuee sur la base des adresses IP resulterait des requetes effectuees sur les reseaux « peer to peer» a partir du titre, du nom de l'auteur ou de l'annee de production des eeuvres. Une fois ce tri acheve, Ie dispositif devrait permettre d'identifier Ie fournisseur d'acces internet en charge de la gestion des adresses IP relevees,

La seconde etape se deroulerait chez les fournisseurs d'acces internet. Les messages d'avertissements leur seraient adresses afin qu'ils puissent les relayer sous Ia forme de l'envoi d'un courrier electronique a l'internaute attributaire de l'adresse IP relevee Iors de la phase d'investigation. Chaque message envoye devrait auparavant etre personna lise par la SCPP et a ce titre, ferait reference a la nature de l'ceuvre mise a disposition ainsi qu'a la date et a l'heure a laquelle cette mise a disposition a ete relevee.

Ainsi, it reception des messages adresses par la SCPP, les fournisseurs d'acces it internet devraient proceder, au maximum dans un delai de vingt-quatre heures, it l'authentifrcation et au decryptage des messages, it la recherche du nurnero client eorrespondant it I' adresse IP horodatee dans Ie fichier des logs de connexions et deconnexions des clients, it la transmission du message a l'abonne, a l'emission d'un avis de traitement adresse a la SCPP et it la destruction de toutes donnees relatives a l' envoi des messages et de toutes traces de eet envoi.

Commission nationalc de I'Informatique et des libertes

S'agissant de la finalite relative it la constatation des delits de contrefacon commis via les reseaux d'echanges de fichiers denornmes « peer to peer », la SCPP devrait avoir recours aux services d'un prestataire qui dispose des moyens techniques necessaires it la poursuite de cette finalite, Le dispositif utilise it cette occasion reposerait sur une technologie qui consiste it calculer pour chaque ceuvre musicale une empreinte numerique unique, insensible aux alterations qu'aurait pu subir l'ceuvre concernee, Cette technologie permettrait de s'assurer que Ie fichier mis it disposition par un internaute correspond bien it une oeuvre musicale protegee. En l'espece, la sepp transmettrait it son prestataire de service des fichiers musicaux originaux afin qu'il calcule pour chacun d'eux une empreinte numerique unique destinee it alimenter une base de donnees de reference.

Une fois cette base de donnees de reference creee, les agents asserrnentes des societes de perception et de repartition des droits declencheraient des phases d'inspection grace it un logiciel permettant d'effectuer des requetes sur les reseaux « peer to peer » it partir du titre, du nom de I'auteur ou de l'annee de production des ceuvres figurant dans la base de donnees de reference.

En reponse, les agents asserrnentes obtiendraient la liste des adresses IP des internautes mettant it disposition des fichiers musicaux dont les caracteristiques correspondent it la requete effectuee. Apres telechargement, ces fichiers seraient confrontes it l'empreinte numerique unique de l'ceuvre de reference figurant dans la base de donnee afin de determiner si les deux coincident.

A l'issue de cette phase, les agents assermentes de la SCPP devraient lancer une phase de constitution de preuves d'une duree de quinze jours au cours de laquelle des requetes seraient effectuees specifiquement sur I'adresse IP des internautes s'agissant desquels la phase d'inspection aura revele qu'ils mettent it disposition un nombre d'ceuvres superieur it un seuil preetabli. A echeance de ces quinze jours, deux nouveaux seuils seraient appliques afin de departager les internautes devant faire I'objet de poursuites civiles de ceux retenus pour des poursuites penales,

La Commission considere qu'au regard de Particle L. 34-1 du code des postes et des communications electroniques et de la lecture qui en est faite par Ie Conseil constitutionnel dans sa decision n02004-499 DC du 29 juillet 2004, dans Iaquelle iI precise que les donnees recueillies it I'occasion des traitements mis en eeuvre au titre de l'article 9-4°ne pourront (( acquerir un caractere nominatif que dans le cadre d'une procedure judicia ire et par rapprochement avec des informations dont la duree de conservation est limitee a un an », un tel traitement ne saurait s'effectuer via les fournisseurs d'acces it. internet sur la base d'un rapprochement entre I' adresse IP des internautes concernes, I 'horodatage du comportement generateur et leur identite enregistree au sein de la base de donnees des abonnes.

En outre, la Commission de considerer qu'en l'espece les traitements relatifs it la recherche et it la constatation des infractions it. la propriete intellectuelle ne sont pas proportionnes it. la finalite poursuivie dans 1a mesure ou its n'ont pas pour objet de permettre la realisation d'actions ponctuelles strictement limitees aux besoins de la lutte contre la contrefacon mais peuvent aboutir au contraire it une collecte massive de donnees it. caractere personnel sur internet et it. une surveillance exhaustive et continue des reseaux d'echanges de fichiers denommes « peer to peer ».

Commission nation ale de I'informatique et des libertes

En presence de traitements comportant des risques particuliers pour la protection des libertes et des droits fondamentaux de la personne et pouvant entrainer une rupture d'equilibre entre respect des droits d'auteur et respect de la protection des donnees a caractere personnel au detriment de cette demiere categorie, la Commission considere necessaire de faire primer la protection de la vie privee et des libertes individuelles.

N'autorise pas dans ces conditions la Societe Civile des Producteurs Phonographiques (SCPP) a mettre en ceuvre un traitement de donnees a caractere personnel ayant pour finalites d'une part, la constatation des delits de contrefacon commis via les reseaux d'echanges de fichiers denornmes « peer to peer », d' autre part, I' envoi de messages pedagogiques informant les intemautes sur les sanctions prevues en matiere de delit de contrefacon,

Le president

Alex Turk

Commission nationale de I'informatique et dcs libertes

Projet de deliberation 200S-XX du 18 octobre 200S portant refus d'autorisation de Ia mise en oeuvre par la Societe Civile des Producteurs de Phonogrammes en France (SPPF) d'un traitement de donnees it caractere personnel ayant pour finalites, d'une part, la constatation des delits de eontrefaeon commis via les reseaux d'echanges de fichiers denommes « peer to peer », d'autre part, I'envoi de messages pedagoglques informant les internautes sur les sanctions prevues en matiere de delit de contrefaeon,


Vu la convention n? 108 du Conseil de I' Europe pour la protection des personnes it I' egard du traitement automatise des donnees it caractere personnel;

Vu la directive 95/46/CE du Parlement europeen et du Conseil du 24 octobre 1995 relative it Ia protection des personnes physiques it I'egard du traitement de donnees it caractere personnel et it la libre circulation de ces donnees;

Vu la loi n078-17 du 6 janvier 1978 relative it I'informatique, aux fichiers et aux libertes modifiee par la loi n02004-80 I du 6 aout 2004 relative it la protection des personnes physiques it I' egard des traitements de donnees it caractere personnel, et notamment son article 25-3° ;

Vu la demande d'autorisation, presentee par la Societe Civile des Producteurs de Phonogrammes en France (SPPF) relative it la mise en ceuvre d'un traitement de donnees it caractere personnel ayant pour finalites, d'une part, la constatation des delits de contrefacon commis via les reseaux d'echanges de fichiers denommes «peer to peer », d'autre part, I'envoi de messages pedagogiques informant les internautes sur les sanctions prevues en matiere de de lit de contrefacon ;



La Societe Civile des Producteurs de Phonogrammes en France (SPPF) a saisi la Commission nationale de l'inforrnatique et des libertes d'une demande d'autorisation relative it la mise en ceuvre d'un traitement de donnees it caractere personnel ayant pour finalites, d'une part, la constatation des delits de contrefacon commis via les reseaux d'echanges de fichiers denommes «peer to peer », d'autre part, l'envoi de messages pedagogiques informant les internautes sur les sanctions prevues en matiere de delit de contrefacon.

Commission nationale de Plnfurrnatique et des libertes

Ce traitement s'inscrit dans Ie cadre de Particle 9-40 de la loi du 6 janvier 1978 rnodifiee qui dispose que les personnes morales mentionnees aux articles L. 321-1 et L. 331-1 du code de la propriete intellectuelle, agissant au titre des droits dont elles assurent fa gestion ou pour Ie compte des victimes d'atteintes aux droits prevus aux livres Ier, II et III du meme code aux fins d' assurer Ia defense de ces droits, peuvent proceder au traitement de donnees a caractere personnel relatives aux infractions.

La Commission considere qui il a lieu de faire application des dispositions de Particle 25-30 de la loi du 6 janvier 1 978 modifiee en aoOt 2004 qui soumet a autorisation les traitements portant sur des donnees relatives aux infractions, condamnations ou mesures de surete.

La SPPF est une societe de perception et de repartition des droits d'auteur et droits voisins telle que visee a I' article L. 321-1 du code de la propriete intellectuelle et fait des lors partie des organismes habilites aux termes de la loi a mettre en ceuvre les traitements prevus a l'article 9-40 precite,

Outre Ia perception et la repartition des redevances provenant de l'exercice des droits patrimoniaux de ses membres, la SPPF a pour objet la defense leurs interets materiels et moraux ou de ceux de leurs ayants droits. Les traitements presentes par la SPPF ne porteront que sur la protection des ceuvres appartenant au catalogue des membres dont elle defend les interets.

S'agissant de la finalite d'envoi de messages pedagogiques informant les internautes sur les sanctions prevues en matiere de delit de contrefacon, Ie dispositif soumis a la Commission devrait fonctionner en deux temps.

Une premiere etape, initiee a distance par des agents assermentes, serait effectuee par une societe prestataire de services. Elle aurait pour objet de selectionner les internautes qui, ayant mis a disposition un nombre d'ceuvres inferieur a un seuil predetermine, se verraient adresser un message de prevention. Cette selection effectuee sur la base des adresses IP resulterait des requetes effectuees sur les reseaux « peer to peer» a partir du titre, du nom de I'auteur ou de l'annee de production des ceuvres. Une fois ce tri acheve, le dispositif devrait permettre d'identifier Ie fournisseur d'acces internet en charge de la gestion des adresses IP relevees.

La seconde etape se deroulerait chez les fournisseurs d'acces internet. Les messages d'avertissements leur seraient adresses afin qu'ils puissent les relayer sous la forme de I'envoi d'un courrier electronique a I'internaute attributaire de l'adresse IP relevee lors de la phase d'investigation. Chaque message envoye devrait auparavant etre personna lise par la SPPF et a ce titre, ferait reference it la nature de l'ceuvre mise a disposition ainsi qu'a la date et it I'heure it laquelle cette mise it disposition a ete relevee.

Ainsi, it reception des messages adresses par la SPPF, les fournisseurs d'acces a internet devraient proceder, au maximum dans un delai de vingt-quatre heures, it I'authentification et au decryptage des messages, it la recherche du numero client correspond ant it I' adresse IP horodatee dans le fichier des logs de connexions et deconnexions des clients, a la transmission du message a l'abonne, it I'ernission d'un avis de traitement adresse it la SPPF et it la destruction de toutes donnees relatives it I'envoi des messages et de to utes traces de cet envoi.


S'agissant de la finalite relative a la constatation des delits de contrefacon commis via les reseaux d'echanges de fichiers denommes « peer to peer », la SPPF devrait avoir recours aux services d'un prestataire qui dispose des moyens techniques necessaires ala poursuite de cette finalite, Le dispositif utilise a cette occasion reposerait sur une technologie qui consiste a calculer pour chaque ceuvre musicale une empreinte numerique unique, insensible aux alterations qu'aurait pu subir I'ceuvre concernee, Cette technologie permettrait de s'assurer que Ie fichier mis a disposition par un internaute correspond bien a une ceuvre musicale protegee. En I'espece, la SPPF transmettrait a son prestataire de service des fichiers musicaux originaux afin qu'il calcule pour chacun d'eux une empreinte numerique unique destinee a alimenter une base de donnees de reference.

One fois cette base de donnees de reference creee, les agents assermentes des societes de perception et de repartition des droits declencheraient des phases d'inspection grace it un logiciel permettant d' effectuer des requetes sur les reseaux « peer to peer» a partir du titre, du nom de I' auteur ou de I' annee de production des ceuvres figurant dans la base de donnees de reference.

En reponse, les agents assermentes obtiendraient la liste des adresses IP des internautes mettant a disposition des fichiers musicaux dont les caracteristiques correspondent a la requete effectuee. Apres telechargement, ces fichiers seraient confrontes a l'empreinte numerique unique de I' ceuvre de reference figurant dans la base de donnee afin de determiner si les deux coIncident.

A l'issue de cette phase, les agents asserrnentes de la SPPF devraient lancer une phase de constitution de preuves d'une duree de quinze jours au cours de laquelle des requetes seraient effectuees specifiquernent sur I' adresse IP des internautes s' agissant desquels la phase d'inspection aura revele qu'ils mettent a disposition un nombre d'ceuvres superieur a un seuil preetabli, A echeance de ces quinze jours, deux nouveaux seuils seraient appliques afin de departager les internautes devant faire l'objet de poursuites civiles de ceux rete nus pour des poursuites penales,

La Commission considere qu'au regard de l'article L. 34R 1 du code des postes et des communications electroniques et de la lecture qui en est faite par Ie Conseil constitutionnel dans sa decision n02004R499 DC du 29 juillet 2004, dans laquelle il precise que les donnees recueillies a l'occasion des traitements mis en ceuvre au titre de I'article 9R4°ne pourront « acquerir un caractere nominatif que dans le cadre d'une procedure judicia ire et par rapprochement avec des informations dont fa duree de conservation est limitee a un an », un tel traitement ne saurait s'effectuer via les fournisseurs d'acces a internet sur la base d'un rapprochement entre I'adresse IP des internautes concernes, l'horodatage du comportement generateur et leur identite enregistree au sein de 1a base de donnees des abonnes,

En outre, la Commission de considerer qu'en l'espece les traitements relatifs a la recherche et it la constatation des infractions a la propriete intellectuelle ne sont pas proportionnes a la finalite poursuivie dans 1a mesure ou Us n'ont pas pour objet de permettre la realisation d'actions ponctuelles strictement Iirnitees aux besoins de la lutte contre la contrefacon mais peuvent aboutir au contraire a une collecte massive de donnees a caractere personnel sur internet et a une surveillance exhaustive et continue des reseaux d'echanges de fichiers denornmes « peer to peer »,

Commission nationale de I'informatique et des Iibertes

En presence de traitements comportant des risques particuliers pour la protection des libertes et des droits fondamentaux de la personne et pouvant entrainer une rupture d'equilibre entre respect des droits d'auteur et respect de la protection des donnees a caractere personnel au detriment de cette derniere categorie, la Commission considere necessaire de faire primer la protection de la vie privee et des Iibertes individuelles.

N'autorise pas dans ces conditions la Societe Civile des Producteurs de Phonogrammes en France (SPPF) it mettre en ceuvre un traitement de donnees it caractere personnel ayant pour finalites d'une part, la constatation des delits de contrefacon commis via les reseaux d'echanges de fichiers denommes « peer to peer », d'autre part, l'envoi de messages pedagogiques informant les internautes sur les sanctions prevues en matiere de delit de contre face n.

Le president

Alex TUrk

Rapport CNIL

Transféré par

Informations du document

Copyright

Formats disponibles

Partager ce document

Partager ou intégrer le document

Options de partage

Avez-vous trouvé ce document utile ?

Ce contenu est-il inapproprié ?

Droits d'auteur :

Formats disponibles

Rapport CNIL

Transféré par

Droits d'auteur :

Formats disponibles

I

Vous aimerez peut-être aussi

Rapport CNIL

Transféré par

Informations du document

Copyright

Formats disponibles

Partager ce document

Partager ou intégrer le document

Options de partage

Avez-vous trouvé ce document utile ?

Ce contenu est-il inapproprié ?

Droits d'auteur :

Formats disponibles

Rapport CNIL

Transféré par

Droits d'auteur :

Formats disponibles

﻿I

Vous aimerez peut-être aussi

I