Failles de sécurité de la plate-forme de recherche des constats de mise en partage d’œuvres protégées par un droit d’auteur ou un droit voisin sur les réseaux de pair à pair et protection des données individuelles des citoyens

Version imprimable envoyer par mail

Question écrite de M. Alain Néri (JO, 26 juillet 2011, p. 7951).

M. Alain Néri attire l’attention de M. le ministre de la culture et de la communication sur le fonctionnement de Trident Media Guard (TMG), la société mandatée par les ayants droit pour relever les infractions aux droits d’auteurs sur internet. Il apparaît que cette société a fait preuve de négligence en laissant en libre accès des adresses IP sur un de ses serveurs. Il lui demande de bien vouloir lui faire savoir si, au cas où la société TMG ne serait pas avertie par l’HADOPI, un simple citoyen doit comprendre que la négligence caractérisée s’apprécie uniquement par rapport aux torts qu’elle pourrait causer aux ayant droits, et que la protection du droit d’auteur (ou du revenu des ayants droit) est plus importante que la protection des données individuelles des citoyens.

Réponse du Ministre de la culture et de la communication (JO, 13 septembre 2011, p. 9794).

Le 16 mai 2011, ont été diffusées sur Internet des informations provenant d’un serveur de la société Trident Media Guard (TMG), le prestataire choisi par l’association de lutte contre la piraterie audiovisuelle (ALPA), la Société des auteurs, compositeurs et éditeurs de musique (SALEM), la société civile des producteurs phonographiques (SCPP) et la société civile des producteurs de phonogrammes en France (SPPF) pour mettre en œuvre et héberger leur plate-forme de recherche des constats de mise en partage d’œuvres protégées par un droit d’auteur ou un droit voisin sur les réseaux de pair à pair.

À l’annonce de cette faille de sécurité, la Haute Autorité pour la diffusion des œuvres et la protection des droits sur Internet (HADOPI) a décidé, par mesure de précaution, de suspendre l’interconnexion de cette plate-forme avec le système d’information de la commission de protection des droits. Elle a également désigné, à la demande de la Commission nationale de l’informatique et des libertés (CNIL), un expert pour assister la CNIL qui a réalisé un contrôle sur place. Les adresses IP présentes sur le serveur de recherche et développement concerné par la faille n’étaient pas horodatées et ne pouvaient donc, en tout état de cause, être identifiées et utilisées dans le cadre du mécanisme de réponse graduée.

Les ayants droit ont actuellement engagé une mission d’audit de sécurité sur la plate-forme mise en œuvre par le prestataire et la Haute Autorité attend d’avoir l’assurance qu’il n’y a aucun risque pour la protection des données personnelles enregistrées dans son propre système d’information pour remettre en place l’interconnexion. Cette décision n’affecte pas la mise en œuvre de la procédure de réponse graduée, dans la mesure où la commission de protection des droits dispose d’un stock de saisines et où les ayants droit continuent à lui transmettre de nouvelles saisines sur supports physiques sécurisés. Par ailleurs, la Haute Autorité a estimé souhaitable, pour mettre fin à toute polémique, de confier une mission d’expertise à M. David Znaty, expert judiciaire auprès de la Cour de cassation, visant à se prononcer sur la pertinence du système de traitement automatisé de recherche des constats et de collecte des adresses IP mis en œuvre par les ayants droit qui la saisissent. Cette mission intervient après l’analyse du système effectué dès l’automne par les agents spécialistes de la Haute Autorité. Il appartient à la Haute Autorité, autorité publique indépendante, et en particulier à la commission de protection des droits, chargée de la mise en œuvre de la procédure de réponse graduée, d’apprécier la régularité des dossiers qui lui sont soumis avant de les transmettre éventuellement à la justice, seule compétente pour prononcer in fine des sanctions au titre de la contravention de négligence caractérisée.