Magmafilm Porno X : un des FAI aurait fourni les IP ?
Posté: 27 Sep 2008 17:00[center]
Exclusif PC INpact : Les éléments se précisent et s'accélèrent dans l’affaire MagmaFilm.
Pour mémoire, cet éditeur de films pornos allemand a obtenu une requête d'identification auprès du tribunal de grande instance de Paris (notre actualité).
http://www.pcinpact.com/actu/news/46275 ... m-sexe.htm
Préalablement à cette procédure, des centaines d'adresses IP avaient été récoltées à sa demande sur les réseaux P2P. C'est une société suisse, Copy Right Solutions, qui s'est occupé de la traque en repérant tous les internautes se livrant à des échanges de films de son catalogue.
Ces IP ont ensuite été classées par FAI et chacun d'eux a reçu sa liste, à charge pour lui d'identifier chaque abonné dans les 72 heures. C’est d’ailleurs dans quelques heures que ce délai sera expiré.
Interrogé sur le processus préalable à ces démarches, le cabinet d’avocats parisien qui s’est chargé de ce dossier nous a confié qu’une autorisation avait été obtenue du contrôleur suisse aux données personnelles. Préférant attendre que « la procédure soit terminée », le cabinet nous a confié qu’un accord existait entre la Suisse et la France pour la transmission de ces informations sensibles. Selon le cabinet, des accords de coopérations entre les différentes autorités compétentes en Europe (même hors Union) permettraient de faire valoir auprès de Neuf, Orange, Numéricable ou Free et d'autres, ce qui a été rondement mené en Suisse.
Un FAI français aurait fourni la liste des abonnés
Petite surprise : le cabinet nous a confié que contrairement à ce que nous indiquions hier, au moins un des FAI a déjà transmis les noms des abonnés liés aux adresses IP glanées en Suisse (Nous n’avons pas le nom de ce FAI). Que va-t-il advenir par la suite ? la stratégie va consister à obtenir réparation auprès des abonnés à l’instar de l’affaire Technland (ou le cabinet d’avocat avait tenté d’obtenir plusieurs centaines d’euros pour les "pirates" du jeu Call Of Juarez). Magmafilm « communiquera le montant du préjudice » une fois la phase d'identification achevée.
Position de la CNIL sur le repérage mené en France ou à l'étranger
Parallèlement, nous avons contacté la CNIL pour obtenir plusieurs informations. Les services de la Commission nous ont certifié que « sauf erreur de notre part, à ce jour aucune déclaration ne semble avoir été effectuée par les sociétés "MagmaFilm" et "Copy Right Solutions" ». Un certitude : l’ordonnance du TGI de Paris ne parle pas d’une autorisation délivrée par la CNIL, mais « le fait que la CNIL a ou non délivré une autorisation de procéder à un traitement ne figure pas automatiquement dans une ordonnance. Ce point n'est abordé que si l'une des deux parties le soulève dans ses conclusions. »
Lorsqu’une affaire touche l’international, les choses se compliquent cependant : « plusieurs hypothèses doivent être envisagées. Si le responsable de traitement dispose d'un établissement sur le territoire français, alors la loi française s'appliquera au même titre que la loi des autres pays dans lesquels il est établi (il devra alors effectuer les formalités préalables). Si le responsable de traitement est établi dans l'Union européenne sans être établi en France, alors seule la loi de l'autre pays de l'Union s'appliquera. Si le responsable de traitement est établi hors de l'Union européenne et qu'il a recours à des moyens de traitement sur le territoire français alors la loi française s'appliquera. On entend par responsable du traitement celui qui définit la finalité et les moyens du traitement. »
Et du côté de la Suisse ?
Nous avons justement interrogé Daniel Menna, le porte-parole du Préposé fédéral à la protection des données et à la transparence, qui est l’équivalent de la CNIL en Suisse.
Il nous a fourni d’autres informations sur la situation dans ce pays frontalier : contraitement à ce qui nous a été indiqué à Paris, « nous ne donnons pas d’autorisation et le système en Suisse ne fonctionne pas comme en France. Dès qu’on traite des données sensibles, il y a une obligation légale de déclarer ces données auprès du Préposé. Mais cela ne signifie pas qu’on fasse un contrôle ou qu’on délivre une autorisation. C’est une question formelle, rien d’autre. La seule fonction de cette déclaration est qu’une personne concernée est en droit de savoir si une entreprise traite des données qui lui sont personnelles. C’est le droit d’accès », nous explique le PFPDT, avant d’insister : « cela ne veut pas dire qu’il y autorisation et ceci n’a pas de conséquence du point de vue légal. »
Est-ce que cela veut dire que tout peut être fait en Suisse ? « Pas du tout ! Si quelqu’un traite des données personnelles, il est tenu, c’est dans sa responsabilité, de se tenir aux dispositions légales de la loi fédérale sur la protection des données. Si moi je fais un traitement de données, j’annonce le fichier au Préposé, mais je ne peux traiter n’importe quoi. Le fait de déclarer ne veut rien dire. »
Alors peut-on mettre en place un système de repérage automatique des fichiers et IP en Suisse ? La Suisse est-elle un paradis technique en cette matière ? « Je pense que vous connaissez la société Logistep qui fait un peu la même chose, si j’ai bien compris. Nous avons émis une recommandation contre cette entreprise, car nous jugeons que le monitoring d’adresse IP systématique n’est pas conforme à la loi, au secret des télécommunications. Nous estimons que le traitement de données ne correspond pas à la loi et qu’il faut cesser ce traitement. L’entreprise peut toujours refuser la recommandation, mais nous avons alors la possibilité de porter l’affaire devant le tribunal fédéral administratif. C’est ce qu’on a fait et nous attendons justement la décision. La situation sera alors claire. »
Quid des procédures ? « On ne peut identifier des personnes en partant d’une adresse IP, que dans le cadre d’une procédure pénale. Là, c’est clair : ils font cette collection d’adresses IP, donnent cela à leur mandataire qui va porter plainte au pénal contre ces internautes. Or, le seul but de cette plainte est d’avoir accès au dossier et donc identifier les personnes pour faire valoir leurs dommages et intérêts, ce qui est strictement du domaine civil. Nous disons que, s’il n’est pas possible de fournir les identités en dehors d’une procédure pénale, il n’est pas davantage question d’instrumentaliser la plainte pénale pour cette identification. C’est là que nous avons le problème. »
Sur le site de la Préposée fédérale à la protection des données et à la transparence, toutes ces questions sont clairement exposées dans des notes disponibles en ligne. On retiendra ce passage : « Bien que les intérêts des titulaires de droits d’auteur puissent être considérés comme légitimes, les moyens d'action doivent respecter la sphère privée des internautes. En d’autres termes, la fin ne justifie pas les moyens. Le moyen d'action utilisé doit en particulier respecter les principes de licéité, de transparence, de finalité et de proportionnalité.
Dans le contexte de la lutte contre le piratage engagée par des personnes privées telles que les titulaires des droits d'auteur, l'utilisation d'un logiciel destiné à déceler et constater systématiquement et de façon proactive les infractions au droit d'auteur sur Internet (« balayage » d'Internet) ne respecte pas ces principes. Un tel moyen équivaut à notre sens à une surveillance continue d'Internet et des réseaux P2P. Outre la question de la valeur probante des traces informatiques relevées et de la proportionnalité d'une telle mesure, nous estimons que de telles investigations devraient, en tout état de cause, être mises en œuvre par des autorités judiciaires (ou policières), et non par des personnes privées. » (Le passage n'a pas été rédigé par Guy Bono).
On soulignera au final que la quasi totalité des FAI en France ont décidé de ne pas fournir les noms et adresses des abonnés identifiés par ces listes d'IP. On saura sous peu si la procédure pendra un tournant plus conflictuel.
source :
http://www.pcinpact.com/actu/news/46311 ... s-CNIL.htm
Exclusif PC INpact : Les éléments se précisent et s'accélèrent dans l’affaire MagmaFilm.
Pour mémoire, cet éditeur de films pornos allemand a obtenu une requête d'identification auprès du tribunal de grande instance de Paris (notre actualité).
http://www.pcinpact.com/actu/news/46275 ... m-sexe.htm
Préalablement à cette procédure, des centaines d'adresses IP avaient été récoltées à sa demande sur les réseaux P2P. C'est une société suisse, Copy Right Solutions, qui s'est occupé de la traque en repérant tous les internautes se livrant à des échanges de films de son catalogue.
Ces IP ont ensuite été classées par FAI et chacun d'eux a reçu sa liste, à charge pour lui d'identifier chaque abonné dans les 72 heures. C’est d’ailleurs dans quelques heures que ce délai sera expiré.
Interrogé sur le processus préalable à ces démarches, le cabinet d’avocats parisien qui s’est chargé de ce dossier nous a confié qu’une autorisation avait été obtenue du contrôleur suisse aux données personnelles. Préférant attendre que « la procédure soit terminée », le cabinet nous a confié qu’un accord existait entre la Suisse et la France pour la transmission de ces informations sensibles. Selon le cabinet, des accords de coopérations entre les différentes autorités compétentes en Europe (même hors Union) permettraient de faire valoir auprès de Neuf, Orange, Numéricable ou Free et d'autres, ce qui a été rondement mené en Suisse.
Un FAI français aurait fourni la liste des abonnés
Petite surprise : le cabinet nous a confié que contrairement à ce que nous indiquions hier, au moins un des FAI a déjà transmis les noms des abonnés liés aux adresses IP glanées en Suisse (Nous n’avons pas le nom de ce FAI). Que va-t-il advenir par la suite ? la stratégie va consister à obtenir réparation auprès des abonnés à l’instar de l’affaire Technland (ou le cabinet d’avocat avait tenté d’obtenir plusieurs centaines d’euros pour les "pirates" du jeu Call Of Juarez). Magmafilm « communiquera le montant du préjudice » une fois la phase d'identification achevée.
Position de la CNIL sur le repérage mené en France ou à l'étranger
Parallèlement, nous avons contacté la CNIL pour obtenir plusieurs informations. Les services de la Commission nous ont certifié que « sauf erreur de notre part, à ce jour aucune déclaration ne semble avoir été effectuée par les sociétés "MagmaFilm" et "Copy Right Solutions" ». Un certitude : l’ordonnance du TGI de Paris ne parle pas d’une autorisation délivrée par la CNIL, mais « le fait que la CNIL a ou non délivré une autorisation de procéder à un traitement ne figure pas automatiquement dans une ordonnance. Ce point n'est abordé que si l'une des deux parties le soulève dans ses conclusions. »
Lorsqu’une affaire touche l’international, les choses se compliquent cependant : « plusieurs hypothèses doivent être envisagées. Si le responsable de traitement dispose d'un établissement sur le territoire français, alors la loi française s'appliquera au même titre que la loi des autres pays dans lesquels il est établi (il devra alors effectuer les formalités préalables). Si le responsable de traitement est établi dans l'Union européenne sans être établi en France, alors seule la loi de l'autre pays de l'Union s'appliquera. Si le responsable de traitement est établi hors de l'Union européenne et qu'il a recours à des moyens de traitement sur le territoire français alors la loi française s'appliquera. On entend par responsable du traitement celui qui définit la finalité et les moyens du traitement. »
Et du côté de la Suisse ?
Nous avons justement interrogé Daniel Menna, le porte-parole du Préposé fédéral à la protection des données et à la transparence, qui est l’équivalent de la CNIL en Suisse.
Il nous a fourni d’autres informations sur la situation dans ce pays frontalier : contraitement à ce qui nous a été indiqué à Paris, « nous ne donnons pas d’autorisation et le système en Suisse ne fonctionne pas comme en France. Dès qu’on traite des données sensibles, il y a une obligation légale de déclarer ces données auprès du Préposé. Mais cela ne signifie pas qu’on fasse un contrôle ou qu’on délivre une autorisation. C’est une question formelle, rien d’autre. La seule fonction de cette déclaration est qu’une personne concernée est en droit de savoir si une entreprise traite des données qui lui sont personnelles. C’est le droit d’accès », nous explique le PFPDT, avant d’insister : « cela ne veut pas dire qu’il y autorisation et ceci n’a pas de conséquence du point de vue légal. »
Est-ce que cela veut dire que tout peut être fait en Suisse ? « Pas du tout ! Si quelqu’un traite des données personnelles, il est tenu, c’est dans sa responsabilité, de se tenir aux dispositions légales de la loi fédérale sur la protection des données. Si moi je fais un traitement de données, j’annonce le fichier au Préposé, mais je ne peux traiter n’importe quoi. Le fait de déclarer ne veut rien dire. »
Alors peut-on mettre en place un système de repérage automatique des fichiers et IP en Suisse ? La Suisse est-elle un paradis technique en cette matière ? « Je pense que vous connaissez la société Logistep qui fait un peu la même chose, si j’ai bien compris. Nous avons émis une recommandation contre cette entreprise, car nous jugeons que le monitoring d’adresse IP systématique n’est pas conforme à la loi, au secret des télécommunications. Nous estimons que le traitement de données ne correspond pas à la loi et qu’il faut cesser ce traitement. L’entreprise peut toujours refuser la recommandation, mais nous avons alors la possibilité de porter l’affaire devant le tribunal fédéral administratif. C’est ce qu’on a fait et nous attendons justement la décision. La situation sera alors claire. »
Quid des procédures ? « On ne peut identifier des personnes en partant d’une adresse IP, que dans le cadre d’une procédure pénale. Là, c’est clair : ils font cette collection d’adresses IP, donnent cela à leur mandataire qui va porter plainte au pénal contre ces internautes. Or, le seul but de cette plainte est d’avoir accès au dossier et donc identifier les personnes pour faire valoir leurs dommages et intérêts, ce qui est strictement du domaine civil. Nous disons que, s’il n’est pas possible de fournir les identités en dehors d’une procédure pénale, il n’est pas davantage question d’instrumentaliser la plainte pénale pour cette identification. C’est là que nous avons le problème. »
Sur le site de la Préposée fédérale à la protection des données et à la transparence, toutes ces questions sont clairement exposées dans des notes disponibles en ligne. On retiendra ce passage : « Bien que les intérêts des titulaires de droits d’auteur puissent être considérés comme légitimes, les moyens d'action doivent respecter la sphère privée des internautes. En d’autres termes, la fin ne justifie pas les moyens. Le moyen d'action utilisé doit en particulier respecter les principes de licéité, de transparence, de finalité et de proportionnalité.
Dans le contexte de la lutte contre le piratage engagée par des personnes privées telles que les titulaires des droits d'auteur, l'utilisation d'un logiciel destiné à déceler et constater systématiquement et de façon proactive les infractions au droit d'auteur sur Internet (« balayage » d'Internet) ne respecte pas ces principes. Un tel moyen équivaut à notre sens à une surveillance continue d'Internet et des réseaux P2P. Outre la question de la valeur probante des traces informatiques relevées et de la proportionnalité d'une telle mesure, nous estimons que de telles investigations devraient, en tout état de cause, être mises en œuvre par des autorités judiciaires (ou policières), et non par des personnes privées. » (Le passage n'a pas été rédigé par Guy Bono).
On soulignera au final que la quasi totalité des FAI en France ont décidé de ne pas fournir les noms et adresses des abonnés identifiés par ces listes d'IP. On saura sous peu si la procédure pendra un tournant plus conflictuel.
source :
http://www.pcinpact.com/actu/news/46311 ... s-CNIL.htm