Un producteur a été débouté de sa demande d’identification de 895 adresses IP. Il a trouvé sur son chemin Orange qui lui a opposé victorieusement la législation sur la protection des données personnelles, dont le RGPD. Explications.
Une ordonnance rendue le 2 août dernier jette un pavé dans la mare des sociétés luttant contre le « piratage » sur Internet. Le producteur québécois Mile High Distribution Inc avait mandaté l’allemande Media Protector à charge pour elle de relever les IP partageant ses œuvres en ligne, outre leur titre, le nom du FAI et l’horodatage.
Près de 900 IP furent ainsi collectées entre novembre 2017 et décembre 2018, toutes prises le doigt dans le pot de confiture du téléchargement illicite de films pour adulte, une des spécialités de l’entreprise canadienne.
Le 8 avril 2019, le juge des requêtes ordonne à Orange « de conserver les informations utiles à l’identification des personnes » cachées derrière ces adresses. Le 11 mars, le producteur fait citer directement le FAI dans une audience de référé, procédure contradictoire cette fois, pour obtenir communication des données d’identification.
La suite attendue se devinait facilement : avec ce stock en main, l’ayant droit allait pouvoir initier des procédures beaucoup plus rugueuses à l’encontre des abonnés sauf que la législation sur les données personnelles a joué les trouble-fêtes.
Des IP, une collecte, une législation
Dans une ordonnance rendue le 2 août 2019 relevée par Legalis.net, le juge des référés du TGI de Paris a été très attentif aux arguments du fournisseur d’accès.
Suivant les arguments d’Orange, il a rappelé qu’une mesure d’identification d’IP n’est légalement admise « que si la collecte des adresses IP des contrefacteurs présumés a été elle-même effectuée légalement ». Or Orange va utilement rappeler l’existence de cette législation, refusant de jeter en pâture les données de ses clients aussi facilement.
La décision rappelle d’abord que les IP sont bien des données personnelles et leur collecte, un traitement soumis à la loi CNIL, tout comme au règlement général sur la protection des données applicable depuis le 25 mai. « Ainsi, pour être licites, la collecte et le traitement des adresses IP précitées doivent avoir été opérés dans le respect des règles applicables au droit à la protection des données à caractère personnel, en application des textes précités. »
Il estime ensuite que le producteur est bien responsable de traitements. C’est lui qui a déterminé les finalités de la collecte, à la collecte des IP pour assurer la défense de son catalogue de films.
De multiples défaillances
Le couvercle du RGPD soulevé, la décision revient sur ses articles 27, 30 et 37 du RGPD. Un tel responsable de traitements doit désigner un représentant en Europe puisqu’il s’agit d’une collecte à grande échelle de données d’infraction.
De même, pour cette raison, « il lui appartient de tenir à jour un registre des traitements au sein duquel une fiche du registre doit être consacrée au traitement de données objet du présent litige ». L’article 10 l’oblige en outre à désigner un délégué à la protection des données.
Ce n’est pas tout. Le responsable de traitements doit assurer un haut niveau de sécurité sur ces données « à l’aide de mesures techniques ou organisationnelles appropriées ». Tout autant, « il doit encore prévoir un encadrement juridique particulier en cas de transfert de données à caractère personnel en dehors de l’Union européenne, comme c’est le cas en l’espèce (transfert de données de la France vers le Canada) ».
Sur chacun de ces points, la société a été dans l’incapacité de démontrer sa conformité au texte. S’agissant de la sécurité, elle s’est contentée de produire un « certificat de coutume » (une attestation) d’un conseil allemand au terme duquel elle respecterait la législation en vigueur. Elle y a ajouté une déclaration de conformité effectuée auprès de la CNIL le 21 septembre 2017.
L'entreprise déboutée
Autant de pièces jugées bien insuffisantes sur l’autel de la loi et du règlement. Conclusion : « la société Mile High Distribution échoue à démontrer le caractère licite du traitement de données à caractère personnel d’adresses IP ».
Faute de traitement licite, les mesures d’instruction sollicitées n’ont pu être ordonnées. Au final, Mile High Distribution INC a été condamnée à payer 8 000 euros à Orange pour couvrir ses frais.
