Formations et audits Informatique et Libertés

Des professionnels en conformité Informatique et Libertés : formation, audit, formalités cnil, contrôle cnil et l’application Data Privacy Manager dédiée au CIL

Dictionnaire juridique

Le traçage des adresses IP

Souriez vous êtes fichés

Chiffres et identité électroniques

Vous êtes ici : Accueil > Actualités

Depuis 2005, le traçage des internautes français, via leur adresse IP, tend à se généraliser pour lutter contre le téléchargement illicite d’œuvres de l’esprit. Ces traitements, soumis à autorisation de la Commission Nationale Informatique et Libertés (CNIL), permettent d’identifier l’internaute dans le cadre d’une procédure pénale ou civile suivant la loi en vigueur dans l’Etat membre de l’Union européenne. A ce titre, le législateur français devra bientôt se prononcer sur le dispositif de « riposte graduée », mis en avant par le rapport Oivennes sur « le développement et la protection des œuvres culturelles sur les nouveaux réseaux », qui tend à assouplir les procédures légales d’identification.

jeudi 21 février 2008

Les autorisations de traçage en France

  • En mars 2005, la CNIL a autorisé le Syndicat des Editeurs de Logiciels de Loisirs (SELL) à mettre en œuvre un dispositif visant à :

- Adresser des messages de prévention aux internautes téléchargeant et mettant à disposition des logiciels copiés illégalement sur les réseaux peer to peer, sans conservation de leurs données. Les seules données traitées sont les éléments de l’adresse IP. « En pratique, l’envoi du message se fait par le biais de fonctionnalités de communication intégrées dans la plupart des logiciels de peer to peer ».

  • Relever, dans des cas limités lors d’actions ponctuelles et ciblées, l’adresse IP d’internautes mettant à disposition des logiciels de loisirs copiés illégalement sur les réseaux peer to peer en vue de dresser des procès-verbaux par un agent assermenté et agréé par le ministère de la culture. Dans ce cas, le rapprochement entre l’adresse IP de l’ordinateur et l’identité de l’internaute est effectué sous le contrôle des autorités judiciaires.
  • En décembre 2006, l’Association de Lutte contre la Piraterie Audiovisuelle (ALPA) a été autorisée à mettre en place un traitement de données à caractère personnel ayant pour finalité principale la recherche des auteurs de contrefaçons audiovisuelles sur les réseaux d’échanges de fichiers peer to peer, les sites de ventes aux enchères, les sites de petites annonces, ou encore les sites qui proposent le téléchargement d’œuvres audiovisuelles à titre payant ou non.
  • Les 8 et 22 novembre 2007, la CNIL a autorisé La Société des Auteurs, Compositeurs et Editeurs de Musique (SACEM), la Société pour l’administration du Droit de Reproduction Mécanique (SDRM) et la Société Civile des Producteurs Phonographiques (SCPP) à mettre en œuvre des traitements ayant pour objet la recherche d’infractions aux droits d’auteur sur les réseaux peer to peer.
  • En 2008, la SPPF (Société civile des Producteurs de Phonogrammes en France), société de gestion collective des droits des producteurs indépendants, a été autorisée à mettre en oeuvre le même traitement automatisé, qui ne permet pas l’envoi de messages d’avertissements par l’intermédiaire des FAI.

La position de la Cour de Justice des communautés européennes (CJCE)

La CJCE, saisie d’une question préjudicielle par le tribunal de commerce de Madrid, s’est prononcée le 29 janvier dernier sur le refus du fournisseur d’accès internet « Telefónica de España » de divulguer les données à caractère personnel de ses abonnées à une association de gestion de droits de propriété intellectuelle de producteurs et éditeurs d’enregistrements musicaux et audiovisuels ( Promusicae).

En pratique, il était demandé à Telefónica de révéler l’identité et l’adresse physique de certains abonnés utilisateurs de « KaZaA », dont l’adresse IP, la date et l’heure de connexion avait été collectées par Promusicae, afin de pouvoir engager des procédures civiles contre les intéressés.

Or, en Espagne, la communication de ces données n’est autorisée que dans le cadre d’une enquête pénale ou en vue de la sauvegarde de la sécurité publique et de la défense nationale, et non dans le cadre d’une procédure civile ou à titre de mesure préliminaire relative à une telle procédure (2).

Dans ces conditions, le tribunal de commerce de Madrid a décidé de surseoir à statuer et de saisir la CJCE.

La CJCE a alors précisé que la directive « commerce électronique » du 8 juin 2000 n’exclut pas la possibilité pour les États membres de prévoir l’obligation de divulguer dans le cadre d’une procédure civile des données à caractère personnel, notamment pour la protection des droits et libertés d’autrui.

Toutefois, le droit communautaire n’exige pas des États membres qu’ils prévoient une telle obligation.

Il revient donc à chaque Etat membres d’autoriser ou non cette divulgation dans le cadre d’une procédure civile, et d’en prévoir les conditions dans le respect des principes généraux du droit communautaire en assurant un juste équilibre entre les différents droits fondamentaux, à savoir, d’une part, le droit au respect de la vie privée et, d’autre part, les droits à la protection de la propriété et à un recours effectif.

Le Tribunal espagnol devra désormais déterminer s’il peut ordonner ou non cet accès, sur la base de la loi hispanique qui prévoit l’accès aux données d’identification uniquement dans le cadre d’une procédure pénale.

Le cadre légal et les évolutions en France

L’article L 34-1 du Code des postes et des communications électroniques prévoit que les FAI conservent pendant un an les données de trafic « pour les besoins de la recherche, de la constatation et de la poursuite des infractions pénales, et dans le but de permettre, en tant que de besoin, la mise à disposition de l’autorité judiciaire d’informations ».

De plus, la loi pour la confiance dans l’économie numérique du 21 juin 2004 précise que l’autorité judiciaire peut prescrire en référé ou sur requête, au hébergeurs, à défaut, au FAI, « toutes mesures propres à prévenir un dommage ou à faire cesser un dommage occasionné par le contenu d’un service de communication au public en ligne ».

Dès lors, dans le cadre de la recherche ou de la constatation de faits faisant l’objet d’incriminations pénales, comme le téléchargement illicite d’œuvres de l’esprit (contrefaçon), l’autorité judiciaire peut ordonner, sur requête, à un fournisseur d’accès de communiquer les données qu’il détient.

C’est donc en toute logique, que les dispositifs de contrôle autorisés par la CNIL permettent, après identification des internautes dans le cadre d’une procédure judiciaire, de les poursuivre au pénal ou au civil.

Toutefois, les procédures judiciaires aux fins d’identification pourraient prochainement être écartées par le législateur.

En effet, suite au Rapport « Olivennes » (novembre 2007), un projet de loi devrait être déposé au Parlement au printemps pour adopter le cadre législatif nécessaire à la mise en œuvre d’un dispositif autorisant l’envoi de messages d’avertissement sur les risques de sanctions civiles et pénales auprès des internautes téléchargeant illégalement des œuvres de l’esprit. Ces messages seront adressés à la demande des ayants droit sous le contrôle de la future Autorité publique de Lutte contre la Piraterie Numérique. En cas de récidive, l’internaute risquera la suspension ou la résiliation de son contrat d’abonnement internet.

Un tel dispositif devra garantir un juste équilibre entre les différents droits fondamentaux protégés par l’ordre juridique communautaire, notamment le principe de proportionnalité.

(1) Délibération 2005-050 du 24 mars 2005.

(2) Aux termes de l’article 12 de la loi 34/2002 relative aux services de la société de l’information et du commerce électronique (Ley 34/2002 de servicios de la sociedad de la información y de comercio electrónico), du 11 juillet 2002 (BOE n° 166, du 12 juillet 2002, p. 25388, ci-après la « LSSI »), intitulé « Devoir de conservation des données relatives au trafic dans le domaine des communications électroniques » :
« 1. Les opérateurs de réseaux et de services de communications électroniques, les fournisseurs d’accès à des réseaux de télécommunications et les fournisseurs de services de stockage de données conserveront les données de connexion et de trafic engendrées par les communications établies au cours de la prestation d’un service de la société de l’information pendant une période maximale de douze mois conformément aux conditions établies par le présent article et par les règles adoptées en vue de la mise en œuvre de celui-ci.
2. […] Les opérateurs de réseaux et de services de communications électroniques ainsi que les fournisseurs de services visés au présent article ne pourront utiliser les données conservées à des fins autres que celles qui sont indiquées au paragraphe suivant ou que la loi autorise et ils adopteront les mesures de sécurité appropriées afin d’éviter la perte ou l’altération de ces données ainsi que tout accès non autorisé à celles-ci.
3. Les données seront conservées en vue de leur utilisation dans le cadre d’une enquête pénale ou en vue de la sauvegarde de la sécurité publique ainsi que de la défense nationale et seront mises à la disposition des juges ou des tribunaux ou du ministère public qui en feront la demande. Ces données ne seront communiquées aux forces de l’ordre que conformément aux dispositions de la réglementation sur la protection des données personnelles.
[…] »

Nos partenaires

Réalisation : Clic Story ®

Plan du site