CNILo

Monsieur Guillaume CHAMPEAU

PRESSTIC
10 RUE DE LA JOHARDIERE
44800 SAINT -HERBLAIN

Paris, le

N/Réf. : SVT/JCS/CEI01236
A rappeler dans toute correspondance.

Monsieur,

Je fais suite à votre saisine du 13 août 2010 relative à la communication des

documents suivants :

les délibérations du 10 juin 2010 relatives à la SCPP, la SACEM, la SDRM, la

SPPF;
les délibérations du 24 juin 2010 relatives à l'ALPA;
les demandes d'autorisation;
les rapports du commissaire rapporteurs;
les observations du commissaire du Gouvernement.

Tout d'abord, je vous informe que vous trouverez les délibérations précitées - qui ont
été publiées - sur la base des délibérations de la CNIL, hébergée par Légifrance, à l'adresse
suivante http://www.legifrance.gouvfr, sous la rubrique « autorités administratives
indépendantes ».

Je vous prie de trouver, ensuite, le rapport de M. de Givry qui a nécessité un travail

d'occultation de certaines mentions qui n'étaient pas communicables au regard de l'article 6
de la loi du 17 juillet 1978.

S'agissant des autres documents précités, je vous précise qu'aucune observation de la

part du commissaire du Gouvernement n'a été formulée sur ces dossiers et que les dossiers de
formalité ne peuvent vous être communiqués.

Commission Nationale de l'Informatique et des Libertés

8 rue Vivienne CS 30223 75083 PARIS Cedex 02 - Tél: 01 53 73 22 22 - Fax: 01 53 73 22 00 - www.cnil.fr
__________________ RÉPUBLIQUE FRANÇAISE _
 En effet, conformément à l'avis n° 201001702 de la CADA du 14 janvier 2010, les
documents soumis à la CNIL par les responsables de traitements, dans le cadre des procédures
de déclaration ou d'autorisation prévues aux articles 23 et suivants de la loi du 6 janvier 1978
modifiée font l'objet d'un régime particulier de communication qui échappe au champ
d'application de la loi du 17 juillet 1978.

En conséquence et conformément à l'article 31 de la loi du 6 janvier 1978 modifiée, je

vous prie de bien vouloir trouver ci-joint les caractéristiques des traitements demandés.

Je vous prie, Monsieur, d'agréer l'expression de mes salutations distinguées.

Sophie VULLIET -TAVERNIER

Directrice des affaires juridiques, de
l'internationale et de l'expertise
c ' .
•
Rapport présenté en séance plénière
le 10 juin 2010

Rapport relatif aux demandes de modification

d'autorisation des traitements ayant pour finalité la
recherche et la constatation des délits de contrefaçon
commis via les réseaux d'échanges de fichiers dénommés
"peer to peer"
Ajout de la HADOPI comme destinataire des informations conformément
à la loi n° 2009-669 du 12 juin 209

Monsieur Emmanuel de GIVRY, Vice-président délégué

Rapporteur

HOC Projet ajout destinataire HADOPI Mise à jour : 17/09/2010 15:06:00 !j

C:\Documents and Settings\jcs\Bureau\transmission documents hadopi\pitté\annexe courrier M. Pitté - rapport sprd hadopi.doc
1
Commission nationale de l'informatique et des libertés

SOMMAIRE

1. Rappel du contexte 3
A. Les demandes d'autorisation initiales 3
B. L'application des dispositions de la loi du 12 juin 2009 4

II. Analyse des demandes au regard de la loi du 6 janvier 1978

:5
m()difi~e...........•...........•••••.•••....•.....••••..•.•••...•..•••••......
A. Les fonctionnalités de mise en œuvre du traitement 5
B. Les données collectées 6
1. Les données traitées en vue d'actions judiciaires 6
2. Les données transmises à la Hadopi. 6
3. L'existence d'une liste blanche 7
c. Les durées de conservation 7
D. Les destinataires 8
E. Les mesures de sécurité 8
F. L'information et les droits des personnes 9

III. Conclusion 10

ANNEXES

1) Projet de délibération n? 2010-XXX du 10 juin 2010 modifiant l'autorisation de mise en

œuvre par la SCPP d'un traitement de données à caractère personnel ayant pour finalité la
recherche et la constatation des délits de contrefaçon commis via les réseaux d'échanges de
fichiers dénommés « peer to peer» ;
2) Projet de délibération n? 2010-XXX du 10 juin 2010 modifiant l'autorisation de mise en
œuvre par la SPPF d'un traitement de données à caractère personnel ayant pour finalité la
recherche et la constatation des délits de contrefaçon commis via les réseaux d'échanges de
fichiers dénommés « peer to peer» ;
3) Projet de délibération n" 2010-XXX du 10 juin 2010 modifiant l'autorisation de mise en
œuvre par la SDRM d'un traitement de données à caractère personnel ayant pour finalité la
recherche et la constatation des délits de contrefaçon commis via les réseaux d'échanges de
fichiers dénommés « peer to peer» ;
4) Projet de délibération n° 2010-XXX du 10 juin 2010 modifiant l'autorisation de mise en
œuvre par la SACEM d'un traitement de données à caractère personnel ayant pour finalité la
recherche et la constatation des délits de contrefaçon commis via les réseaux d'échanges de
fichiers dénommés « peer to peer» ;
5) Décret n02010-236 du 5 mars 2010 relatif au traitement automatisé de données à caractère
personnel autorisé par l'article L. 331-29 du code de la propriété intellectuelle dénommé «
Système de gestion des mesures pour la protection des œuvres sur intemet ».

C:\Documents and Settings\jcs\Bureau\transmission documents hadopi\pitté\annexe courrier M. Pitté - rapport sprd hadopi.doc
2
Commission nationale de l'informatique et des libertés

1. Rappel du contexte

A. Les demandes d'autorisation initiales

Entre les mois d'avril et juillet 2005, quatre Sociétés de Perception et de Répartition des
Droits d'auteur - SPRD1 ont adressé à la CNIL des demandes d'autorisation relatives à des
traitements ayant pour finalité d'une part la constatation des délits de contrefaçon commis via
les réseaux «peer to peer », d'autre part l'envoi de messages pédagogiques informant les
internautes sur les sanctions prévues en matière de délit de contrefaçon.

Le 18 octobre 2005, la CNIL a adopté quatre délibérations portant refus de la mise en œuvre
de ces traitements pour les motifs suivants.

Sur le volet préventif:

en l'état actuel de la législation, les fournisseurs d'accès à internet ne sont pas

autorisés à conserver les données de connexion des internautes pour envoyer des
messages pédagogiques pour le compte de tiers;
dans sa décision du 29 juillet 2004, le Conseil constitutionnel indique que seule
l'autorité judiciaire peut autoriser le rapprochement entre une adresse IP et l'identité
d'un internaute lors des traitements relatifs aux infractions.

Sur le volet répressif:

il n'avait pas pour objet la réalisation d'actions ponctuelles strictement limitées au

besoin de la lutte contre la contrefaçon;
il pouvait aboutir à une collecte massive de données à caractère personnel;
il permettait la surveillance exhaustive et continue des réseaux d'échanges de fichiers
«peer to peer», ce qui paraissait « disproportionné» à la Commission;
la sélection des internautes susceptibles de faire l'objet de poursuites pénales ou
civiles s'effectuait sur la base de seuils que les sociétés d'auteurs se réservaient la
possibilité de réviser unilatéralement à tout moment.

Le 23 mai 2007, le Conseil d'Etat a annulé les quatre décisions de la CNIL portant refus
d'autorisation des dispositifs présentés par la SACEM, la SDRM, la SPPF et la SCPP.

S'agissant du caractère massif et disproportionné du traitement de lutte contre la contrefaçon

et des critères retenus, le Conseil d'Etat a considéré que la CNIL avait commis une erreur
d'appréciation. Il a estimé que compte tenu de « l'importance de la pratique des échanges de
fichiers musicaux sur 'internet'» et du nombre limité de titres musicaux «surveillés» les
traitements présentés étaient proportionnés.

1 La Société des Auteurs, Compositeurs et Editeurs de Musique (SACEM) ; la Société pour l'administration du
droit de Reproduction Mécanique (SDRM); la Société Civile des Producteurs Phonographiques (SCPP) la
Société Civile des Producteurs de Phonogrammes en France (SPPF).

C:\Documents and Settings\jcs\Bureau\transmission documents badopi\pitté\annexe courrier M. Pitté - rapport sprd badopi.doc
3
Commission nationale de I'Informatique et des libertés

En revanche, en ce qui concerne l'envoi de messages pédagogiques, l'analyse retenue par la

CNIL a été validée par le Conseil d'Etat. Ce dernier indique ainsi que c'est à bon droit que la
Commission a considéré que ces envois étaient illégaux dans la mesure où ils ne relèvent pas
des cas de figure où les fournisseurs d'accès à internet sont autorisés à conserver les données
de connexion des internautes. Il a cependant estimé que ce point ne pouvait justifier à lui seul
les refus adoptés par la CNIL.

Faisant suite à la décision du Conseil d'Etat, les services de la Commission ont adressé au
mois de juillet 2007 à chacune des SPRD un courrier précisant que la décision d'annulation
du Conseil d'Etat ne saurait pour autant leur permettre de mettre en œuvre les traitements
projetés.

Aussi, les SPRD sont revenues vers la CNIL en modifiant leur traitement - et notamment en
supprimant l'envoi de messages pédagogiques - et ont obtenu les autorisations suivantes:

délibération n? 2007-334 du 8 novembre 2007 pour la SCPP ;

délibération n° 2007-348 du 22 novembre 2007 pour la SACEM;
délibération n° 2007-349 du 22 novembre 2007 pour la SDRM ;
délibération n? 2008-009 du 10 janvier 2008 pour la SPPF.

B. L'application des dispositions de la loi du 12 juin 2009

Le ministère de la culture et de la communication a saisi la CNIL le 9 octobre 2009 du projet

de décret portant création du traitement automatisé de données à caractère personnel
mentionné à l'article L. 331-37 du code de la propriété intellectuelle (CPI) et qui a pour
finalité la mise en œuvre, par la commission de protection des droits de la Haute Autorité pour
la Diffusion des Œuvres et la Protection des droits sur Internet (HADOPI), de la procédure de
recommandations prévue par la loi du 12 juin 2009 (dite loi Hadopi 1).

Le projet de décret soumis à la CNIL, qui ne concernait pas l'application du volet pénal du
dispositif prévu par la loi n" 2009-1311 du 28 octobre 20092, a fait l'objet d'un premier
examen par la Commission lors de sa séance plénière du 10 décembre 2009. Il est alors
apparu à la CNIL, dans un premier temps, qu'elle ne pouvait rendre un avis éclairé sans
disposer également du projet de décret d'application de la loi n° 2009-1311 (dite loi Hadopi
2l
Toutefois, au vu des éclairages apportés par le Ministère sur la procédure d'élaboration des
textes et compte-tenu de l'installation imminente de la Hadopi dont les membres ont été
nommés par décret du 23 décembre 2009, la Commission a décidé de rendre son avis en date
du 14 janvier 20104.

Le décret a finalement été signé le 5 mars 20105•

2 Loi relative à la protection pénale de la propriété littéraire et artistique sur internet.

3 Le décret relatif à l'infraction de négligence caractérisée devrait être adopté d'ici juin, d'après la conférence de
presse de la Hadopi sur ce point.
4 Délibération n" 2010-001
5 Décret n02010-236 publié au JO du 7 mars 2010, ci-joint en annexe 5.

C:\Documents and Settings\jcs\Bureau\transmission documents hadopi\pitté\annexe counier M. Pitté - rapport sprd hadopi.doc
4
Commission nationale de Pinfurmattque et des libertés

Le 3 mai dernier, la Hadopi a fait une présentation à la presse en expliquant qu'elle prévoyait
l'envoi des premiers mails fin juin 2010. Ces emails mentionneront l'existence de moyens de
sécurisation (article L.33l-25 du code de la propriété intellectuelle). En revanche, les
spécifications fonctionnelles et la labellisation des moyens de sécurisation de l'installation,
qui doivent également être définies par la Hadopi (article L.33l-26 du même code), ne seront
pas prêts avant septembre 2010.

Afin d'être en mesure d'envoyer des messages dès le mois de juin, la SCPP, la SPPF, la
SACEM et la SDRM, pour le secteur musical, ont fait parvenir à la CNIL des demandes de
modification de leur autorisation, ajoutant, parmi les destinataires, la Hadopi afin que cette
dernière puisse effectuer l'envoi des recommandations. Ces quatre demandes sont strictement
identiques.

[ ...]

II. Analyse des demandes au regard de la loi du 6 janvier 1978

modifiée

A. Les fonctionnalités de mise en œuvre du traitement

Même si la finalité et l'organisation générale de la collecte des adresses IP restent inchangées,

les modalités de mise en œuvre du traitement sont légèrement modifiées. En effet, le
prestataire des SPRD n'est plus la société Advestigo mais la société Trident Media Guard
(TMG), et les modalités pratiques de la collecte sont donc légèrement différentes. De plus, le
traitement a inclus la connexion avec la Hadopi.

Pour rappel, le traitement fonctionne de la manière suivante. Les SPRD définissent une liste
[... ] de référence sur lesquels les constats porteront. Le prestataire TMG calcule pour chaque
titre une empreinte musicale unique, qui permettra d'identifier les fichiers illicites partagés
identiques aux titres originaux. Chaque jour, TMG collecte auprès des utilisateurs les fichiers
illicites identifiés et enregistre l'adresse IP de l'utilisateur qui a mis à disposition le fichier
pour constituer un «incident ». [... ] La base des incidents est transmise aux agents
assermentés des SPRD, qui valident les constatations et signent les saisines. Seules les
saisines signées par les agents assermentés sont alors transmises par TMG à la Hadopi. Pour
les requêtes judiciaires, la transmission des constats est faite par les sociétés de perception et
de répartition des droits.

Le prestataire fournit par ailleurs des informations statistiques sur les sessions de collecte et
les fichiers illicites identifiés. Ces informations sont anonymes.

Le dispositif est identique au dispositif présenté en 2005, à l'exception de la solution de calcul

d'empreinte: TMG fait appel à la solution Civolution alors qu'Advestigo utilisait sa propre
solution. Les interfaces pour les agents assermentés ont également changé.

[ ... ]

C:\Documents and Settings\jcs\Bureau\transmission documents hadopi\pitté\annexe courrier M. Pitté " rapport sprd hadopi.doc
5
Commission nationale de J'informatique et des libertés

Le système proposé laisse peu de marges d'appréciation aux agents assermentés, qui sont
chargés de constater les potentielles infractions et saisir la Hadopi6. Vu le nombre élevé de
saisines prévues (25 000 par jour dans un premier temps, puis 150 000 par jour), il est
impossible que les agents assermentés vérifient les constatations une à une. Pour autant, le
système ne prévoit pas de procédure particulière, par exemple par échantillonnage, pour qu'un
agent puisse détecter des anomalies dans une session de collecte. Votre rapporteur regrette
qu'une telle procédure ne soit pas mise en place.

Par ailleurs, l'action de la Hadopi se limitera à accepter ou refuser les constats transmis, sans
possibilité de les vérifier. Les premières étapes de la « riposte graduée» (envoi d'email et
de lettre recommandée) reposeront donc uniquement sur la collecte opérée par le
système de TMG. Votre rapporteur considère qu'il serait préférable que le système de
collecte soit «homologué» par un tiers de confiance", pour renforcer la sécurité juridique des
constats. Cette recommandation de la Commission pourra être précisée aux SPRD par le biais
des lettres de notification qui accompagnent les autorisations. Cette information pourra
également, le cas échéant, figurer sur la communication de la CNIL sur son site internet.
Votre rapporteur soumet ce point à la Commission.

B. Les données collectées

Le système collecte des informations, relatives à des adresses IP partageant des contenus sans
l'autorisation des titulaires de droits [... ].

1. Les données traitées en vue d'actions judiciaires

Les données traitées en vue d'actions judiciaires restent inchangées par rapport aux
autorisations d'origine, à savoir :

l'adresse IP8 ,.
le FAI correspondant à l'adresse IP ;
le numéro de port ;
le protocole;
le pseudonyme utilisé (« user id ») par l'internaute lorsque celui-ci existe;
les informations sur l'œuvre (titre, artiste, identifiants) ;
le nom du fichier tel que présent sur le poste de l'internaute (si possible) ;
l'horodatage de la réponse à la requête.

2. Les données transmises à la Hadopi

Parmi les données transmises à la Hadopi, on retrouve:

l'adresse IP de l'utilisateur ;
le FAI correspondant à l'adresse IP ;

6 A cet égard, les dossiers de 2005 faisaient apparaître la possibilité pour les agents assermentés de faire des
constats manuels en allant eux-mêmes sur les réseaux pair-à-pair, ce qui n'est plus le cas dans les nouvelles
demandes.
7Les seules procédures d'audit prévues sur le système de TMG sont des audits internes trimestriels par les
SPRD.
8 Votre rapporteur rappelle que la Commission a toujours considéré l'adresse IP comme étant susceptible d'être

une donnée à caractère personnel.

C:\Documents and Settings\jcs\Bureau\transmission documents hadopi\pitté\annexe courrier M. Pitté - rapport sprd hadopi.doc
6
Commission nationale de l'Informatique et des libertés

le protocole;
le client pair à pair (nom et version) ;
horodatage ;
segments de fichiers téléchargés;
hashcode;
informations sur le phonogramme ou la vidéomusique (titre, artiste principal,
identifiants) ;
nom du fichier tel que présent sur le poste de l'internaute (si disponible).

Votre rapporteur souligne que ces données sont conformes aux données prévues par l'annexe
du décret n? 2010-236 du 5 mars 2010 relatif au traitement automatisé de données à caractère
personnel autorisé par l'article L. 331-29 du code de la propriété intellectuelle dénommé
« Système de gestion des mesures pour la protection des œuvres sur internet »9. En effet, votre
rapporteur considère que les informations - «segments de fichiers téléchargés »,
« hashcode », « informations sur le phonogramme ou la videomusique » et « nom du fichier»
- entrent dans la rubrique «informations relatives aux œuvres ou objets protégés concernés
par les faits» figurant dans le décret.

Par ailleurs, les informations suivantes sont également transmises à la Hadopi :

numéro de l'autorisation de la CNIL en vertu de laquelle ils peuvent

transmettre ces informations;
l'identifiant du pv ou de la saisine;
l'identifiant de constatation.

Bien que ces données ne soient pas expressément mentionnées dans le décret, votre rapporteur
considère que ces données techniques sont inhérentes au traitement susvisé et n'appelle
aucune observation particulière.

3. L'existence d'une liste blanche

Le système intègre désormais une liste blanche permettant d'éviter l'envoi à la Hadopi de
saisines concernant des adresses IP autorisées par les titulaires de droits. [... ]

C. Les durées de conservation

Les données collectées - notamment l'adresse IP horodatée - sont effacées au cours de la nuit
suivant la confirmation de la réception des saisines par la Hadopi, soit généralement 24h après
la collecte de ces informations. Il convient de noter que dans le cas où des données collectées
ne sont pas signées par un agent assermenté et, par conséquent, ne sont pas transmises à la
Hadopi, ces données sont également détruites 24h après la collecte.

En tout état de cause, les adresses IP horodatées sont utilisées dans un délai maximum de trois
jours. En effet, les traitements des samedis et dimanches seront effectués le lundi ou le mardi

9 « Données à caractère personnel et informations provenant des organismes de défense professionnelle régulièrement
constitués. des sociétés de perception et de répartition des droits, du Centre national du cinéma et de l'image animée :
Quant aux faits susceptibles de constituer un manquement à l'obligation définie à l'article L. 336-3 du code de la propriété
intellectuelle: Date et heure des faits; Adresse IP des abonnés concernés; Protocole pair à pair utilisé; Pseudonyme utilisé
par l'abonné; Informations relatives aux œuvres ou objets protégés concernés par les faits; Nom du fichier tel que présent
sur le poste de l'abonné (le cas échéant) ; Fournisseur d'accès à internet auprès duquel l'accès a été souscrit. »

C:\Documents and Settings\jcs\Bureau\transmission documents hadopi\pitté\annexe counier M. Pitté - rapport sprd hadopi.doc
7
Commission nationale de l'informatique et des libertés

si le lundi est un jour férié. C'est pourquoi, ces sociétés souhaitent conserver jusqu'à trois
jours les données collectées en vue d'une saisine de la Hadopi, de manière à éviter que les
contrefaçons sur Internet ne se développent les week-ends et les jours fériés.

Ces données ne feront pas l'objet de traitement pendant les jours précédant la saisine de la
Hadopi et resteront stockées sur les serveurs du prestataire jusqu'à la reprise d'activité des
agents assermentés des sociétés d'auteurs.

Par ailleurs, votre rapporteur rappelle que les données destinées aux dossiers sensibles JO sont
conservées pendant 15jours dans les bases de données de TMG (le prestataire) et jusqu'à 120
jours (après le 1er jour de constitution) dans les bases de données de la société d'auteur. Cette
durée de conservation est inchangée par rapport aux dossiers d'autorisations initiales.

D. Les destinataires

Outre les agents assermentés de la société de protection des droits d'auteur, son directeur
juridique et son directeur général, les autorités judiciaires peuvent également avoir accès aux
informations conformément aux autorisations précédentes délivrées par la CNIL.

La présente demande de modification porte essentiellement sur l'ajout des agents

assermentés de la Hadopi comme destinataires des informations conformément aux
dispositions du code de la propriété intellectuelle.

Votre rapporteur estime que ce point, qui avait déjà été évoqué au moment de l'examen du
décret d'application en décembre dernier, n'appelle aucune observation particulière.

E. Les mesures de sécurité

Votre rapporteur indique tout d'abord qu'une réunion sur les aspects techniques de ce dossier
s'est tenue le 17 mai 2010 entre les agents de la CNIL, des représentants des SPRD et un
représentant de TMG.

Le dispositif prévoit une sécurisation de l'accès physique aux serveurs par l'utilisation de
badges, vidéosurveillance, alarmes ainsi que la journalisation des accès. Les serveurs et bases
de données sont de plus protégés par des pare-feux et un système de détection des intrusions.

Pour les agents assermentés, les accès à l'application et aux données personnelles sont
effectués par une interface sécurisée (https) et avec un dispositif d'authentification forte. Les
agents doivent s'authentifier une deuxième fois pour signer les constats. Par ailleurs, les accès
de ces agents sont journalisés : date/heure de connexion et de déconnexion, identifiant du
poste de travail et de l'utilisateur.

Les accès logiques du prestataire aux serveurs et bases de données sont également journalisés
et des profils d'habilitation sont définis. La maintenance des équipements est effectuée par le
prestataire et non pas l'hébergeur des serveurs. Les données personnelles (adresses IP) sont

10 D'après la demande d'autorisation initiale, les «dossiers sensibles» sont ceux relatifs aux personnes qui
effectuent de très nombreux téléchargements illicites et pour lesquels les SPRD souhaitent pouvoir collecter plus
d'informations afin de lancer des procédures judiciaires contre ces personnes. Des seuils sont définis dans la
demande initiale.

C:\Documents and Settings'[cs'Bureauuransmission documents hadopi\pitté\annexe courrier M. Pitté - rapport sprd hadopi.doc
8
Commission nationale de l'informatique et des libertés

chiffrées et ne sont pas accessibles par le personnel de maintenance du prestataire. Les clés de
chiffrement sont partagées en deux parties et détenues par deux personnes différentes [... ].

Enfin, des actions de sensibilisation aux problématiques de sécurité sont menées auprès de
TMG et des agents assermentés.

Concernant la transmission des saisines à la Hadopi, la demande indique que chaque saisine
est chiffrée et signée individuellement, avec la signature numérique de l'agent assermenté qui
a validé les constats. Les saisines sont ensuite envoyées à la Hadopi via un canal sécurisé.
Cette description correspond à la description faite pour la collecte des données par la Hadopi
dans le cadre du projet de décret.

Votre rapporteur considère que les mesures de sécurité prises par les SPRD et le prestataire
TMG sont satisfaisantes au regard de la loi Informatique et Libertés.

F. L'information et les droits des personnes

S'agissant de l'information, votre rapporteur considère que les dispositions prévues à l'article
32-1 de la loi du 6 janvier 1978 ne peuvent s'appliquer car l'information exigerait des efforts
disproportionnés par rapport à l'intérêt de la démarche, conformément au III du même article.

Votre rapporteur estime toutefois qu'une communication générale sur ce sujet dans les médias
serait opportune.

En tout état de cause, votre rapporteur considère que les droits d'accès et de rectification,
prévus aux articles 39 et 40 de la loi Informatique et Libertés s'appliquent, contrairement à ce
que mentionnent les dossiers de formalités, et propose à la Commission de maintenir dans les
délibérations le possible exercice de ces droits auprès des SPRD.

Toutefois, il est vrai qu'en pratique cela exigerait que la personne concernée prouve qu'elle
est bien propriétaire de l'adresse IP et cela dans un délai extrêmement court (l'information
n'étant conservée que pendant quelques heures et au maximum pendant 72h). De plus, en
l'état, le logiciel fourni aux SPRD ne leur permet pas techniquement de faire une recherche
sur le critère de l'adresse IP afin de répondre à une demande d'accès!'. Mais votre rapporteur
tient à souligner que dans les délibérations initiales, la CNIL avait maintenu l'exercice de ces
droits malgré la mention « droits non applicables» dans les dossiers de formalités des SPRD,
alors que les mêmes difficultés étaient présentes.

A cet égard, votre rapporteur rappelle que les personnes peuvent également exercer leurs
droits auprès de la Hadopi.

Quant au droit d'opposition, il ne s'exerce que «pour motif légitime» au regard de l'article
38 de la loi du 6 janvier 1978 modifiée. A toutes fins utiles, votre rapporteur rappelle que pour
le traitement de la Hadopi, l'article 7 du décret na 2010-236 du 5 mars 2010 prévoit que le
droit d'opposition ne s'applique pas.

II Il serait cependant aisé pour le prestataire de configurer le logiciel pour permettre une recherche par adresse
IP.

C:\Documents and Settings\jcs\Bureau\transmission documents hadopi\pitté\annexe courrier M. Pitté - rapport sprd hadopi.doc
9
24 septembre Liste des informations prévues par l'article 31 de la loi 78-17 du 6 Page 1/1
2010 janvier 1978 modifiée

Demande d'autorisation N° 1425414 enregistrée le 21-04-2010

Acte décidant de la création du traitement: Avis tacite N°201O-223 du 10-06-2010

Finalité du traitement: IDENTIFIER LES ADRESSES IP DES ABONNES A INTERNET SITUES EN FRANCE
METTANT ILLIClTEMENT A DISPOSITION DES FICHIERS MUSICAUX ET REUNIR
DES ELEMENTS DE PREUVE D'INFRACTIONS DANS LE CAS D'ACTIONS EN
JUSTICE. INCHANGE (VERSION ORIGINE 1090042) ENVOI DE SAISINES, SOUS
FORME DE PROCES-VERBAUX D'AGENTS ASSERMENTES, A LA HADOPI (HAUTE
AUTORITE POUR LA DIFFUSION DES OEUVRES ET LA PROTECTION DES DROITS
SUR INTERNET).

Responsable de traitement: N° SIREN : 333147122 - NIC : 00043

SOCIETE CIVILE DE PRODUCTEURS PHONOGRAPHIQUES SCPP
14 BOULEVARD DU GENERAL LECLERC
92527 NEUILLY SUR SEINE

Chargé du droit d'accès: W SIREN : - NIC:

Catégories de données enregistrées: Formulaire version 2009

Catégories de données Destinataires

Données de connexion AUTORITES JUDICIAIRES 4 MOIS

INCHANGE CF 1090042 NOUVEAU
DESTINATAIRE HADOPI

Infractions, condamnations et mesures de sureté AUTORITES JUDICIAIRES 4 MOIS

INCHANGE CF 1090042 NOUVEAU
DESTINATAIRE HADOPI
24 septembre Liste des informations prévues par l'article 31 de la loi 78-17 du 6 Page 1/1
2010 janvier 1978 modifiée

Demande d'autorisation N° 1425428 enregistrée le 28-06-2010

Acte décidant de la création du traitement: Avis tacite N°2010-224 du 10-06-2010

Finalité du traitement: 1 IDENTIFIER LES ADRESSES IP DES ABONNES A INTERNET SITUES EN FRANCE
METrANT ILLICITEMENT A DISPOSITION DES FICHIERS MUSICAUX ET REUNIR
DES ELEMENTS DE PREUVE D'INFRACTIONS DANS LE CAS D'ACTIONS EN
JUSTICE. INCHANGE (VERSION ORIGINE 1090042) ENVOI DE SAISINES, SOUS
FORME DE PROCES-VERBAUX D'AGENTS ASSERMENTES, A LA HADOPI (HAUTE
AUTORITE POUR LA DIFFUSION DES OEUVRES ET LA PROTECTION DES DROITS
SUR INTERNET).
Le traitement a été modifié le 28-06-2010 au motif « nouvelle adresse exercice du droit d'accès»

Responsable de traitement: N° SIREN : 339199697 - NIC:

SOCIETE CIVILE DES PRODUCTEURS DE PHONOGRAMMES EN FRANCE
28 RUE DE CHATEAUDUN
75009 PARIS

Chargé du droit d'accès: W SIREN : 339199697 - NIC:

SOCIETE CIVILE DES PRODUCTEURS DE PHONOGRAMMES EN FRANCE

28 RUE DE CHATEAUDUN
75009 PARIS

Catégories de données enregistrées: Formulaire version 2009

Catégories de données Destinataires

Données de connexion AUTORITES JUDICIAIRES 4 MOIS -

INCHANGE CF DT 1106668 - NOUVEAU
DESTINATAIRE HADOPI

Infractions, condamnations et mesures de sureté AUTORITES JUDICIAIRES 4 MOIS -

INCHANGE CF DT 1106668 - NOUVEAU
DESTINATAIRE HADOPI
24 septembre Liste des informations prévues par l'article 31 de la loi 78-17 du 6 Page 1/1
2010 janvier 1978 modifiée

Demande d'autorisation N° 1425421 enregistrée le 21-04-2010

Acte décidant de la création du traitement: Avis tacite N°2010-225 du 10-06-2010

Finalité du traitement: 1 IDENTIFIER LES ADRESSES IP DES ABONNES A INTERNET SITUES EN FRANCE
METTANT ILLICITEMENT A DISPOSITION DES FIClllERS MUSICAUX ET REUNIR
DES ELEMENTS DE PREUVE D'INFRACTIONS DANS LE CAS D'ACTIONS EN
JUSTICE. INCHANGE (VERSION ORIGINE 1090042) ENVOI DE SAISINES, SOUS
FORME DE PROCES-VERBAUX D'AGENTS ASSERMENTES, A LA HADOPI (HAUTE
AUTORITE POUR LA DIFFUSION DES OEUVRES ET LA PROTECTION DES DROITS
SUR INTERNET).

Responsable de traitement: W SIREN : 775675739 - NIC: 03131

SOCIETE DES AUTEURS COMPOSITEURS ET EDITEURS MUSICAUX
225 AVENUE CHARLES DE GAULLE
92521 NEUILLY SUR SEINE CEDEX

Chargé du droit d'accès: W SIREN : - NIC :

Catégories de données enregistrées: Formulaire version 2009

Catégories de données Destinataires

Données de connexion AUTORITES JUDICIAIRES DUREE DE

CONSERVATION 4 MOIS - INCHANGE CF
DT 1091623 - NOUVEAU DESTINATAIRE
HADOPI

Infractions, condamnations et mesures de sureté AUTORITES JUDICWRES DUREE DE

CONSERVATION 4 MOIS - INCHANGE CF
DT 1091623 - NOUVEAU DESTINATAIRE
HADOPI
24 septembre Liste des informations prévues par l'article 31 de la loi 78-17 du 6 Page 1/1
2010 janvier 1978 modifiée

Demande d'autorisation N° 1425438 enregistrée le 22-04-2010

Acte décidant de la création du traitement: Avis tacite N°201O-226 du 10-06-2010

Finalité du traitement: IDENTIFIER LES ADRESSES IP DES ABONNES A INTERNET SITUES EN FRANCE
METIANT ILLICITEMENT A DISPOSITION DES FICHIERS MUSICAUX ET REUNIR
DES ELEMENTS DE PREUVE D'INFRACTIONS DANS LE CAS D'ACTIONS EN
JUSTICE. INCHANGE (VERSION ORIGINE 1090042) ENVOI DE SAISINES, SOUS
FORME DE PROCES-VERBAUX D'AGENTS ASSERMENTES, A LA HADOPI (HAUTE
AUTORITE POUR LA DIFFUSION DES OEUVRES ET LA PROTECTION DES DROITS
SUR INTERNET).

Responsable de traitement: W SIREN : 775675721 - NIC :

SOCIETE POUR ADMINISTRATION DU DROIT DE REPRODUCTION
MECANIQUE
225 AVENUE CHARLES DE GAULLE
92521 NEUILLY S SEINE CEDEX

Chargé du droit d'accès: W SIREN : - NIC :

Catégories de données enregistrées: Formulaire version 2009

Catégories de données Destinataires

Données de connexion AUTORITES JUDICWRES DUREE DE

CONSERVATION 4 MOIS VOIR DT 1091622
NOUVEAU DESTINATAIRE HADOPI

Infractions, condamnations et mesures de sureté AUTORITES JUDICIAIRES DUREE DE

CONSERVATION 4 MOIS VOIR DT 1091622
NOUVEAU DESTINATAIRE HADOPI
24 septembre Liste des informations prévues par l'article 31 de la loi 78-17 du 6 Page 1/1
2010 janvier 1978 modifiée

Demande d'autorisation N° 1426869 enregistrée le 28-04-2010

Acte décidant de la création du traitement: Avis tacite W2010-255 du 24-06-2010

Finalité du traitement: COLLECTER LES ADRESSES IP DES ABONNES A INTERNET SITUES EN FRANCE
METTANT ILLICITEMENT A DISPOSITION DES FICHIERS AUDIOVISUELS EN VUE
DE LEUR TRANSMISSION A HADOPI SOUS FORME DE PV D'AGENTS
ASSERMENTES

Responsable de traitement: W SIREN : 339337255 - NIC : 00022

ASSOCIATION DE LUTTE CONTRE LA PIRATERIE AUDIOVISUELLE
6 RUE DE MADRID
75008 PARIS

Chargé du droit d'accès: W SIREN : 339337255 - NIC : 00022

ASSOCIATION DE LUTTE CONTRE LA PIRATERIE AUDIOVISUELLE

6 RUE DE MADRID
75008 PARIS

Catégories de données enregistrées: Formulaire version 2009

Catégories de données Destinataires

Données de connexion DIRECT LA HADOPI INDIRECT SELON

DECISION HADOPI AUTORITES
JUDICIAIRES

Infractions, condamnations et mesures de sureté DIRECT HADOPI INDIRECT SELON

DECISION HADOPI AUTORITES
JUDICIAIRES
24 septembre Liste des informations prévues par l'article 31 de la loi 78-17 du 6 Page 1/1
2010 janvier 1978 modifiée

Demande d'autorisation N° 1434049 enregistrée le 04-06-2010

Acte décidant de la création du traitement: Avis tacite N°201O-256 du 24-06-2010

Finalité du traitement: COLLECTER LES ADRESSES lP DES ABONNES A INTERNET SITUES EN FRANCE
METTANT ILLICITEMENT A DISPOSITION DES FICHIERS AUDIOVISUELS DANS
LES CAS DE : - PREMIERE MISE A DISPOSITION SUR L UN DES RESEAUX VISES
PAR LA DEMANDE - MISE A DISPOSITION LA PLUS IMPORTANTE PAR UN
UTILISATEUR AU COURS D UNE MEME COLLECTE

Responsable de traitement: W SIREN : 339337255 - NIC : 00022

ASSOCIATION DE LUTTE CONTRE LA PIRATERIE AUDIOVISUELLE
6 RUE DE MADRID
75008 PARIS

Chargé du droit d'accès: W SIREN : 339337255 - NIC : 00022

ASSOCIATION DE LUTTE CONTRE LA PIRATERIE AUDIOVISUELLE

6 RUE DE MADRID
75008 PARIS

Catégories de données enregistrées: Formulaire version 2009

Catégories de données Destinataires

Données de connexion PROCUREUR DE LA REPUBLIQUE

Infractions, condamnations et mesures de sureté PROCUREUR DE LA REPUBLIQUE

 PressTIC
[-:::111z,1,do l!IBj h'llù~ri(tf •••• -----------------------------

c.n.u,
1 3 AOUT 2010 1 Commission Nationale de l'Informatique et des Libertés
\<QO\9\GG 8, rue Vivienne
ARRIVÉ! CS 30223
75083 Paris cedex 02

Saint-Herblain, le 10 août 2010, par LAR

Objet: Communication de délibérations

- --Madame;-Monsieur,--

Dans le cadre de la mise en oeuvre de l'HADOPI, votre Commission a délivré le 10 juin 2010 quatre autorisations
à la société Civile des Producteurs Phonographiques (SCPP), à la Société Civile des Producteurs de
Phonogrammes en France (SPPF), à la Société des Auteurs Compositeurs et Editeurs de Musique (SACEM) et à la
Société pour l'administration du Droit de Reproduction Mécanique (SDRM), modifiant des traitements ayant pour
finalité la recherche et la constatation des délits de contrefaçon commis via les réseaux d'échanges « Peer to peer
». Par délibération du 24 juin 2010, votre Commission a également délivré autorisation à l'Association de Lutte

contre la Piraterie Audiovisuelle (ALPA) de mise en oeuvre d'un traitement de données à caractère personnel.

Par application de la loi du 17 juillet 1978 relative à la liberté d'accès aux documents administratifs et à la
réutilisation des informations publiques, je vous prie de bien vouloir me communiquer copie intégrale des cinq
délibérations motivées relatives aux autorisations sus-citées, des cinq dossiers de demandes d'autorisation
déposés par les demandeurs desdites autorisations, ainsi que de l'ensemble des rapports de commissaire et
observations du commissaire du gouvernement relatifs aux délibérations visées.

Je vous remercie par avance de l'attention que vous porterez à ma demande.

Veuillez agréer, Madame, Monsieur, l'expression de mes meilleures salutations.

Guillaume Champeau, gérant

~--=---
PressTIC
www.presstic.com - 10 rue de la Johardière, 44800 Saint Herblain
Tel: (+33)2.40.78.60.87 - Mail: contact@presstic.com
Société à responsabilité limitée au capital de 1500 euros - Siret: 477 973 648 00025 - ReS Nantes B 477 973 648
Siège social: 22 rue des Meuniers, 44800 Saint Herblain