Armée du RGPD, Orange fait empêcher l’identification de centaines d’IP par un ayant droit

Armée du RGPD, Orange fait empêcher l’identification de centaines d’IP par un ayant droit

Comment ne pas être débouté

Avatar de l'auteur
Marc Rees

Publié dans

Droit

06/09/2019 4 minutes
32

Armée du RGPD, Orange fait empêcher l’identification de centaines d’IP par un ayant droit

Un producteur a été débouté de sa demande d’identification de 895 adresses IP. Il a trouvé sur son chemin Orange qui lui a opposé victorieusement la législation sur la protection des données personnelles, dont le RGPD. Explications. 

Une ordonnance rendue le 2 août dernier jette un pavé dans la mare des sociétés luttant contre le « piratage » sur Internet. Le producteur québécois Mile High Distribution Inc avait mandaté l’allemande Media Protector à charge pour elle de relever les IP partageant ses œuvres en ligne, outre leur titre, le nom du FAI et l’horodatage. 

Près de 900 IP furent ainsi collectées entre novembre 2017 et décembre 2018, toutes prises le doigt dans le pot de confiture du téléchargement illicite de films pour adulte, une des spécialités de l’entreprise canadienne.

Le 8 avril 2019, le juge des requêtes ordonne à Orange « de conserver les informations utiles à l’identification des personnes » cachées derrière ces adresses. Le 11 mars, le producteur fait citer directement le FAI dans une audience de référé, procédure contradictoire cette fois, pour obtenir communication des données d’identification.

La suite attendue se devinait facilement : avec ce stock en main, l’ayant droit allait pouvoir initier des procédures beaucoup plus rugueuses à l’encontre des abonnés sauf que la législation sur les données personnelles a joué les trouble-fêtes.

Des IP, une collecte, une législation

Dans une ordonnance rendue le 2 août 2019 relevée par Legalis.net, le juge des référés du TGI de Paris a été très attentif aux arguments du fournisseur d’accès.

Suivant les arguments d’Orange, il a rappelé qu’une mesure d’identification d’IP n’est légalement admise « que si la collecte des adresses IP des contrefacteurs présumés a été elle-même effectuée légalement ». Or Orange va utilement rappeler l’existence de cette législation, refusant de jeter en pâture les données de ses clients aussi facilement.

La décision rappelle d’abord que les IP sont bien des données personnelles et leur collecte, un traitement soumis à la loi CNIL, tout comme au règlement général sur la protection des données applicable depuis le 25 mai. « Ainsi, pour être licites, la collecte et le traitement des adresses IP précitées doivent avoir été opérés dans le respect des règles applicables au droit à la protection des données à caractère personnel, en application des textes précités. »

Il estime ensuite que le producteur est bien responsable de traitements. C’est lui qui a déterminé les finalités de la collecte, à la collecte des IP pour assurer la défense de son catalogue de films.

De multiples défaillances

Le couvercle du RGPD soulevé, la décision revient sur ses articles 27, 30 et 37 du RGPD. Un tel responsable de traitements doit désigner un représentant en Europe puisqu’il s’agit d’une collecte à grande échelle de données d’infraction.

De même, pour cette raison, « il lui appartient de tenir à jour un registre des traitements au sein duquel une fiche du registre doit être consacrée au traitement de données objet du présent litige ». L’article 10 l’oblige en outre à désigner un délégué à la protection des données.

Ce n’est pas tout. Le responsable de traitements doit assurer un haut niveau de sécurité sur ces données « à l’aide de mesures techniques ou organisationnelles appropriées ». Tout autant, « il doit encore prévoir un encadrement juridique particulier en cas de transfert de données à caractère personnel en dehors de l’Union européenne, comme c’est le cas en l’espèce (transfert de données de la France vers le Canada) ».

Sur chacun de ces points, la société a été dans l’incapacité de démontrer sa conformité au texte. S’agissant de la sécurité, elle s’est contentée de produire un « certificat de coutume » (une attestation) d’un conseil allemand au terme duquel elle respecterait la législation en vigueur. Elle y a ajouté une déclaration de conformité effectuée auprès de la CNIL le 21 septembre 2017.

L'entreprise déboutée

Autant de pièces jugées bien insuffisantes sur l’autel de la loi et du règlement. Conclusion : « la société Mile High Distribution échoue à démontrer le caractère licite du traitement de données à caractère personnel d’adresses IP ».

Faute de traitement licite, les mesures d’instruction sollicitées n’ont pu être ordonnées. Au final, Mile High Distribution INC a été condamnée à payer 8 000 euros à Orange pour couvrir ses frais.

32

Écrit par Marc Rees

Tiens, en parlant de ça :

Sommaire de l'article

Introduction

Des IP, une collecte, une législation

De multiples défaillances

L'entreprise déboutée

Commentaires (32)


La news qui tombe à pic, je prépare le pop corn ! <img data-src=" />


“Elle y a ajouté une déclaration de conformité effectuée auprès de la CNIL le 21 septembre 2018.”



Tiens Monsieur le Juge ! Je me suis fait un document à moi-même pour prouver que je me suis fait un document à moi-même! Si c’est pas la preuve que moi-même a reconnu que moi-même était conforme à la règlementation ! <img data-src=" />

&nbsp;


Il n’y a plus qu’à lancer une procédure à l’encontre de cet ayant droit pour non-respect du RGPD. 😂😂


je ne sais pas si l’expression “les doigts dans le pot de confiture” est du meilleur goût, vu les “oeuvres” diffusées par cet ayant droit !&nbsp;<img data-src=" /><img data-src=" /><img data-src=" />


Crise de rire derrière mon écran. <img data-src=" />

Et bravo à Orange pour se soucier des données personnelles <img data-src=" />


[Mode troll on]Et avec free ca aurais donné quoi cette demande ?” [Mode troll off]



Désolé ! <img data-src=" />

&nbsp;


Confiture ou nutela, tans qu’il y à du plaisir, le reste n’est pas important.<img data-src=" />








crocodudule a écrit :



“Elle y a ajouté une déclaration de conformité effectuée auprès de la CNIL le 21 septembre 2018.”



Tiens Monsieur le Juge ! Je me suis fait un document à moi-même pour prouver que je me suis fait un document à moi-même! Si c’est pas la preuve que moi-même a reconnu que moi-même était conforme à la règlementation ! <img data-src=" />

&nbsp;





C’est 2017 d’ailleurs, j’ai corrigé. Mille excuses pour la typo.&nbsp;









MarcRees a écrit :



C’est 2017 d’ailleurs, j’ai corrigé. Mille excuses pour la typo.&nbsp;





<img data-src=" />



<img data-src=" />








Ami-Kuns a écrit :



Confiture ou nutela, tans qu’il y à du plaisir, le reste n’est pas important.<img data-src=" />





Dans tous les cas ils l’ont dans le c..

Excuse my french

<img data-src=" />



C’est bon ça oO !


Comme quoi, des fois, la RGPD peut justifier la flemmingite de devoir répondre à des sollicitations extérieures (et permettre de faire des économies… certainement le réel intérêt d’Orange)








DayWalker a écrit :



Comme quoi, des fois, la RGPD peut justifier la flemmingite de devoir répondre à des sollicitations extérieures (et permettre de faire des économies… certainement le réel intérêt d’Orange)





Cela ne fait pas faire d’économies à Orange qui aurait été rémunéré pour obtenir les informations.



C’est juste qu’orange aurait pu être attaqué par un client…









vivienfr a écrit :



Cela ne fait pas faire d’économies à Orange qui aurait été rémunéré pour obtenir les informations.



C’est juste qu’orange aurait pu être attaqué par un client…





Ce n’est pas parce qu’il y a rétribution en retour que le montant compense l’ensemble des frais engagés. Le montant considéré comme dérisoire que donnait ADOPI a d’ailleurs poussé à ce que certains fournisseurs fassent les difficiles.



Une bonne nouvelle avant le weekend.


Une news comme on les aime.


Faudrait pas penser que tout est bloqué. Il suffit qu’ils se remettent dans les clous du RGPD et ils récupéreront ces adresses et les suivantes.








plopl a écrit :



Faudrait pas penser que tout est bloqué. Il suffit qu’ils se remettent dans les clous du RGPD et ils récupéreront ces adresses et les suivantes.





Inexact. Leur récolte de données a été invalidée en justice. Ce qui est déclaré illégal le reste: des données obtenues illégalement ne peuvent devenir légales rétroactivement.



En revanche, ils peuvent s’y prendre plus intelligemment pour l’avenir (pour les prochaine récoltes de données).









sitesref a écrit :



Inexact. Leur récolte de données a été invalidée en justice. Ce qui est déclaré illégal le reste: des données obtenues illégalement ne peuvent devenir légales rétroactivement.



En revanche, ils peuvent s’y prendre plus intelligemment pour l’avenir (pour les prochaine récoltes de données).





Du coup, pour obtenir les IP de contrevenants il faut leur accord pour pouvoir utiliser leur adresse IP qui est une donnée personnelle.



Non, Il y un intérêt légitime pour traiter ces données personnelles donc pas besoin de consentement, par contre, il faut respecter les autres règles du RGPD exposées dans l’article (DPO,…)


c’est bon* tout ça ! <img data-src=" />

(retour de bâton)



* pour nous <img data-src=" />


En effet, et à la prochaine récolte, les mêmes adresses IP seront présentées, mais dans les règles.

Heureusement qu’il ne s’agit pas d’affaires de terrorisme etc…Mais les règles sont différentes.


Je voyais plus Free dans cet état d’esprit que Orange <img data-src=" />








fred42 a écrit :



Non, Il y un intérêt légitime pour traiter ces données personnelles donc pas besoin de consentement, par contre, il faut respecter les autres règles du RGPD exposées dans l’article (DPO,…)





Attention l’intérêt légitime n’est vraiment pas une justification à tout.



Typiquement ici la deloyauté du procédé de collecte hypothèque très sérieusement la légalité du traitement.



Chez nous ça a conduit à l’hadopi par exemple, ca r la collecte massive et l’atteinte “à la vie privée / protection des données persos” ne permettaient plus la rafle générale d’ip par des entités privées et hors tout cadre légal.



Orange en pourfendeur des injustices ? Ou il y avait une IP dans le tas qui aurait fait scandal ?

Je vous laisse deux heures…


Orange ne fait que protéger sa responsabilité vis-à-vis du RGPD. Pour sûr que lorsqu’une demande conforme à la loi et sans ombrage vis-à-vis des intérêts de l’opérateur sera adressée à Orange, celle-ci sera honorée sans sourciller à propos de la vie privée de chacun.








SuXiNeTTe a écrit :



Orange en pourfendeur des injustices ? Ou il y avait une IP dans le tas qui aurait fait scandal ?

Je vous laisse deux heures…





Il fallait que quelqu’un lance une n-ième rumeur numérique sans fondement. Pourquoi imaginer des complots comme ça ? Ceux qu’on voit ne vous suffisent-ils pas ?



Free aurais envoyé une réponse papier avec des fôtes d’orthographe (comme avec la hadopi à une époque) le tout en comic sans lol



Sinon c’est la classe, merci orange d’ouvrir le RGPD pour sanctionner ces boites qui ignorent le droit (sauf quand il est à leur avantage !) Faut envoyer une jambe de bois à Orange pour son entrée chez les pirates ^^


Et là, ils l’ont dedans.


Je ne sais pas vous, mais j’aime augmenter ma culture. J’ai donc taper Mile High Distribution dans google.

Et le fait de savoir que ce sont des œuvres québécoises me donne envie de plus de cul.ture

Pour la science.


Le secteur du porno est l’un des plus touchés par le piratage de masse.



Surtout quand on voit à côté toute la sphère MindGeek qui est productrice, mais aussi un fort vecteur de piratage avec la galaxie PornHub dont elle est aussi propriétaire. Ou comment avoir des revenus sur la vente via les studios et distributeurs, mais aussi le publicitaire sur les plateformes de streaming et les abonnements premium possibles dessus. Et donc fait sa loi.



Les studios plus indépendants ou distributeurs sont littéralement écrasés par ça tout en subissant le piratage.



Et comme c’est un tabou, tout le monde s’en fout.