Groupe de travail «Article 29» sur la protection des données



Documents pareils
TRADUCTION EXTÉRIEURE NON RÉVISÉE

CENTRE DE RECHERCHE GRENOBLE RHÔNE-ALPES

CONSEIL DE L'EUROPE COMITÉ DES MINISTRES RECOMMANDATION N R (87) 15 DU COMITÉ DES MINISTRES AUX ÉTATS MEMBRES

PROSPECTION COMMERCIALE PAR L ING SE LEGALISE POINT SUR LA REGLEMENTATION JURIDIQUE : L OPT-IN DEVIENT LA NORME EUROPEENNE ET FRANCAISE

Politique de Sage en matière de protection de la vie privée sur le site

CONDITIONS GENERALES D'UTILISATION. Date de dernière mise à jour et d entrée en vigueur : 11 mai 2015.

RÈGLEMENT NUMÉRO 12 RÈGLEMENT SUR L UTILISATION DES TECHNOLOGIES INFORMATIQUES ET INTERNET

Vu la loi du 8 décembre 1992 relative à la protection de la vie privée à l'égard des traitements de données à caractère personnel;

Vu la Loi n du 23 décembre 1993 relative à la protection des informations nominatives, modifiée ;

Conditions Générales d utilisation de l Application «Screen Mania Magazine»

CONDITIONS GENERALES D UTILISATION. L application VAZEE et le site internet sont édités par :

Déclaration des droits sur Internet

Législation et droit d'un administrateur réseaux

1. Procédure. 2. Les faits

Proposition de DÉCISION DU CONSEIL

UNION EUROPÉENNE 2005/0182 (COD) PE-CONS 3677/05

REGLES INTERNES AU TRANSFERT DE DONNEES A CARACTERE PERSONNEL

CHARTE INFORMATIQUE. Usage de ressources informatiques et de service Internet

Vu la demande d'avis de M. Christos DOULKERIDIS, Secrétaire d Etat au Gouvernement de la Région de Bruxelles-Capitale reçue le 23/02/2012;

CHARTE DE PROTECTION DE LA VIE PRIVEE Au 1 er janvier 2015

CHARTE INFORMATIQUE LGL

FICHE N 2 LA GESTION COMMERCIALE DES CLIENTS ET PROSPECTS POUR LE SECTEUR DES ASSURANCES (NS 56)

GEWISS FRANCE S.A.S. CODE D ETHIQUE INFORMATIQUE

Condition générales d'utilisation sur le site et pour toute prestation gratuite sur le site

CONDITIONS GENERALES D UTILISATION DE L APPLICATION L@GOON Version Mai 2015

Une coalition d entreprises déclare que la Loi sur le droit d auteur doit s assortir d une exception au droit de reproduction

Convention Beobank Online et Beobank Mobile

DÉLIBÉRATION N DU 4 FÉVRIER 2014 DE LA COMMISSION DE CONTRÔLE

Conditions générales d utilisation

Exemple de directives relatives à l utilisation du courrier électronique et d Internet au sein de l'entreprise

OBJET : Utilisation des données contenues dans les annuaires téléphoniques.

DELIBERATION N DU 20 MAI 2015 DE LA COMMISSION DE CONTROLE

Charte d'usage et de contrôle du Label Hosted in Luxembourg

GUIDE DE LA GÉOLOCALISATION DES SALARIÉS. Droits et obligations en matière de géolocalisation des employés par un dispositif de suivi GSM/GPS

REGLEMENT DU GRAND JEU DE L ETE MITOSYL LINGETTES

Charte informatique. Ce document n est qu un exemple. Il doit être adapté à chaque entreprise selon ses moyens et ses nécessités.

CODE PROFESSIONNEL. déontologie

Conditions Générales d Utilisation de la plateforme depot-doublage.fr

Ordonnance sur les ressources d adressage dans le domaine des télécommunications

Xi Ingénierie. La performance technologique au service de votre e-commerce. Comment exploiter les cookies sur vos applications web en toute légalité?

L utilisation du genre masculin dans ce document sert uniquement à alléger le texte et désigne autant les hommes que les femmes

CONDITIONS GENERALES D'UTILISATION DU LOGICIEL SYNCHRONISATION ET PARTAGEUBIKUBE / B CLOUD

LICENCE D UTILISATION DU LOGICIEL ACOUBAT SOUND VERSION 7

Outil d autoévaluation LPRPDE. Loi sur la protection des renseignements personnels et les documents électroniques

données à caractère personnel (ci-après LVP), en particulier les articles 31bis et 36bis ;

LIVRE BLANC WiFi PUBLIC

CHARTE DE L ING. Code relatif à l utilisation de coordonnées électroniques à des fins de prospection directe

Commission nationale de l informatique et des libertés

Politique sur l accès aux documents et sur la protection des renseignements personnels

Intervenants. Problématiques annexes Les données personnelles dans le cadre de l administration électronique. Démonstration Questions - Réponses

Avis d'initiative relatif à la protection de la vie privée dans le cadre du commerce électronique.

Conditions générales d abonnement en ligne et d utilisation du site

(Document adopté par la Commission le 19 janvier 2006)

Règlement relatif à l utilisation des ressources informatiques et de télécommunication

Politique d'utilisation (PU)

Médiathèque DASTRI Mentions légales

ORGANISATION MONDIALE

1.7 Start People SA se réserve le droit souverain de modifier, ajouter ou supprimer des dispositions dans le cadre du présent règlement.

Règlement d INTERPOL sur le traitement des données

Sommaire. 1. Préambule

Le Traitement des Données Personnelles au sein d une Association

CHARTE D UTILISATION DU SITE

UTILISATION DES TECHNOLOGIES DE L INFORMATION ET DES COMMUNICATIONS

Charte d'utilisation du site internet de la commune de Neffies

CONDITIONS PARTICULIERES DES OFFRES 100% GRATUITES

CONDITIONS GENERALES D UTILISATION. 1.1 On entend par «Site» le site web à l adresse URL édité par CREATIV LINK.

LICENCE SNCF OPEN DATA

Groupe Banque européenne d investissement. Politique de vidéosurveillance

CONDITIONS GENERALES D'UTILISATION OFFRE DE LOCATION -

CHARTE D UTILISATION DU SYSTÈME D INFORMATION ET EN PARTICULIER DES RESSOURCES INFORMATIQUES.

Annexe au document intitulé Communication relative à certaines questions de politique concernant le Bureau de Procureur : renvois et communications

Contrat de courtier. Entre : (ci-après nommée «Empire Vie») (ci-après nommé «courtier») Adresse civique : Ville ou municipalité :

LICENCE SNCF OPEN DATA

LE DROIT D AUTEUR, LES NORMES ET INTERNET

ecrm: Collecter et exploiter les données prospects et clients en toute légalité en France

Conditions générales de AgenceWeb SA. I. Dispositions générales

protection consommateurs commerce électronique Principes régissant la dans le Le cadre canadien des

CONDITIONS PARTICULIERES D'HÉBERGEMENT WEB

Politique de conformité relative à la lutte contre la corruption et la Loi sur les manœuvres frauduleuses étrangères

Recommandations pour les entreprises qui envisagent de souscrire à des services de Cloud computing

Conditions générales d'adhésion au programme d'affiliation

Charte de bon Usage des Ressources Informatiques, de la Messagerie et de l Internet

CONDITIONS PARTICULIERES D'ENREGISTREMENT, DE RENOUVELLEMENT ET DE TRANSFERT DE NOMS DE DOMAINE

Journal officiel de l Union européenne L 181/15

EXIGENCES MINIMALES RELATIVES À LA PROTECTION DES RENSEIGNEMENTS PERSONNELS LORS DE SONDAGES RÉALISÉS PAR UN ORGANISME PUBLIC OU SON MANDATAIRE

JE MONTE UN SITE INTERNET

Article 1. Enregistrement d un nom de domaine

Comment participer? Règlement du jeu «Ma Fnac en photo»

Consultation de la CNIL. Relative au droit à l oubli numérique. Contribution du MEDEF

Guide de la pratique sur les réserves aux traités 2011

Politique de résolution des litiges relatifs aux noms de domaine Point ML

Politique Utilisation des actifs informationnels

données à caractère personnel (ci-après "la LVP"), en particulier l'article 30 ;

TERMES ET CONDITIONS POUR L'UTILISATEUR de "emblue"

Accord

données à caractère personnel (ci-après la "LVP"), en particulier l'article 29 ;

CONDITIONS GENERALES D UTILISATION DE L AGENCE EN LIGNE

Transcription:

Groupe de travail «Article 29» sur la protection des données 10092/05/FR WP 104 Document de travail sur les questions de protection des données liées aux droits de propriété intellectuelle 18 janvier 2005 Le groupe de travail a été établi en vertu de l'article 29 de la directive 95/46/CE. Il s'agit d'un organe consultatif européen indépendant sur la protection des données et de la vie privée. Ses missions sont définies à l'article 30 de la directive 95/46/CE et à l'article 15 de la directive 2002/58/CE. Le secrétariat est assuré par la Commission européenne, DG Marché intérieur, Unité D4 (Economie basée sur la connaissance - Protection des données), B-1049 Bruxelles - Belgique - Bureau: C100-6/136. Site Web: www.europa.eu.int/comm/privacy

LE GROUPE DE PROTECTION DES PERSONNES À l ÉGARD DU TRAITEMENT DES DONNÉES À CARACTÈRE PERSONNEL établi en vertu de la directive 95/46/CE du Parlement européen et du Conseil du 24 octobre 1995 1, vu l article 29 et l article 30, paragraphe 1, point c), et paragraphe 3, de ladite directive, vu son règlement intérieur, et notamment ses articles 12 et 14, A ADOPTÉ LE PRÉSENT DOCUMENT DE TRAVAIL SUR: Les questions de protection des données liées aux droits de propriété intellectuelle 1. Introduction Le groupe de travail constate que l échange d informations croissant lié au développement d Internet pose de plus en plus la délicate question du contrôle des informations protégées par droit d auteur. Les enjeux concernent en particulier les droits et obligations des acteurs ayant des intérêts dans les informations protégées par droit d auteur et des personnes participant à la gestion des droits numériques. Le groupe de travail reconnaît la nécessité de mettre en œuvre des mesures pour protéger les intérêts légitimes des détenteurs de droits de propriété intellectuelle contre la fraude présumée. Dans le même temps, le groupe de travail (GT) a constaté que certaines mesures destinées à assurer la protection efficace de matériel soumis à droit d auteur contre un échange illicite présumé, prises à différents niveaux par les détenteurs de droits d auteur, impliquaient le traitement de données à caractère personnel. Le premier aspect que le groupe de travail entend aborder concerne la gestion des droits numériques (DRM) qui se développe actuellement, dans la mesure où la DRM prévoit l identification et le traçage des individus consultant sur Internet des informations légalement protégées (chansons, logiciels, par exemple). Le deuxième point porte sur les possibilités dont disposent les détenteurs de droits d auteur pour faire appliquer leurs droits à l égard d individus soupçonnés d atteinte au droit d auteur. Pour ce qui est des différents niveaux où se posent les questions de protection des données, le présent document rappelle les grands principes juridiques auxquels doivent se conformer non seulement les détenteurs de droits d auteur dans l exercice de leurs droits, mais aussi les autres parties impliquées plus spécifiquement dans le domaine de la gestion numérique, comme l industrie ou les fournisseurs de services proposant des technologies de gestion des droits numériques. a. Gestion des droits numériques En ce qui concerne le développement de la gestion des droits numériques, le GT constate que de nouvelles technologies permettant d identifier et/ou de tracer les utilisateurs sont mises en place au 1 Journal officiel L 281 du 23.11.1995, p. 31, disponible sur: http://europa.eu.int/comm/internal_market/privacy/law_fr.htm 2

niveau de l échange des informations ainsi qu au niveau de la plate-forme (vérification des matériels/logiciels). En ce qui concerne l échange et le téléchargement d informations sur Internet, en cas d opérations sur des informations protégées par droit d auteur, l accès à ces informations est de plus en plus souvent soumis à un contrôle préliminaire de l identité de l utilisateur, qui est complété par un autre traçage de l utilisation des informations, grâce à des marqueurs ou des filigranes numériques. Par exemple, les utilisateurs devront souvent s'identifier avant de pouvoir télécharger une chanson auprès d'un fournisseur officiel et leur profil sera complété par les informations collectées par l'identifiant unique inclus dans chaque morceau de musique qu ils auront téléchargé. Outre l objectif revendiqué de contrôle de l utilisation des informations par l individu en conformité avec la DRM, le marquage est souvent utilisé pour profiler et cibler les publicités en fonction des utilisateurs. Comme l a déjà indiqué le groupe de travail international sur les télécommunications, «l industrie conçoit et propose des systèmes de gestion électronique des droits d auteur (ECMS) qui pourraient conduire à une surveillance systématique des utilisateurs d œuvres numériques. Certains ECMS suivent chaque action de lecture, d écoute ou de visualisation effectuée sur Internet par chaque utilisateur, tout en collectant des informations hautement sensibles sur la personne concernée.» 2 Au niveau des plates-formes, le groupe de travail suit de près l évolution de certains projets de l industrie, comme TCG, qui vise à garantir la fiabilité des informations figurant et accessibles sur une plate-forme informatique. Si de tels systèmes, comme le reconnaît le GT, peuvent avoir un impact très positif sur le niveau de sécurité des informations, leurs possibilités d application sont vastes et pourraient très bien permettre la vérification à distance de la conformité au regard du droit d'auteur des éléments constituant les plates-formes informatiques. Dans son document de travail du 23 janvier, le GT a indiqué que «les applications basées sur les TPM pourraient être utilisées [ ] par exemple par l'industrie de contenu afin de retrouver le contrôle de la distribution et de l'utilisation d'un contenu numérique (notamment logiciel) qu'elles ont perdu du fait de l'arrivée d'internet et des applications pair à pair». Ces contrôles pourraient intervenir de manière systématique, dans le cadre de tout type de contact entre plates-formes, étant donné que «l'utilisation de TPM, encouragée par une représentation aussi forte de l'industrie, est susceptible de devenir une norme de facto, une caractéristique nécessaire pour participer à la société de l'information». b. Respect du droit d'auteur Alors que le contrôle et le traçage se développent à la source dans l intention de contrôler «a priori» tout utilisateur téléchargeant légalement des informations à partir d Internet, la protection des informations soumises à droit d auteur conduit également la plupart des détenteurs de droits d auteur à prendre des mesures «a posteriori» et de mener des enquêtes sur les utilisateurs soupçonnés d infractions. Parmi les moyens utilisés par les détenteurs de droits, le groupe de travail note en particulier les suivants. Les outils pair à pair disponibles sur Internet ont été identifiés comme l un des principaux moyens permettant de trouver des informations sur les personnes mettant à disposition en ligne ou téléchargeant des contenus protégés. La recherche conduite par les détenteurs de droits repose 2 Groupe de travail international sur la protection des données dans le secteur des télécommunications, Position commune concernant les aspects liés à la vie privée et à la gestion des droits d auteur, adoptée lors de la 27 e réunion du groupe de travail les 4 et 5 mai 2000. 3

généralement sur la collecte de l adresse IP des utilisateurs 3. Ces informations sont ensuite combinées avec les données sur les utilisateurs détenues par les fournisseurs d accès à Internet. Dans certains cas, les détenteurs de droits demandent directement l identité des utilisateurs au fournisseur d accès, afin de leur envoyer des lettres d avertissement. Dans d autres cas, les détenteurs de droits demandent la collaboration des fournisseurs d accès, de façon à ce que ceux-ci envoyent eux-mêmes des lettres aux utilisateurs concernés leur demandant de retirer le matériel en infraction présumée ou à ce qu ils les déconnectent de leur réseau. Le niveau d accès aux informations détaillées sur les utilisateurs dont disposent les détenteurs de droits varie en fonction des pays. En Belgique, les détenteurs de droits demandent la collaboration des fournisseurs d accès pour envoyer des avertissements aux utilisateurs. Aux États-Unis, les fournisseurs d accès ont été invités à communiquer l identité de leurs clients directement aux représentants de l'industrie musicale, sans ordonnance d un tribunal 4. Cela a conduit à plusieurs décisions de justice (affaire Verizon décembre 2003, par exemple), dans lesquelles finalement une telle communication directe d informations aux détenteurs des droits a été considérée comme illégale par le tribunal. Pour citer un autre exemple, la législation australienne (par le biais de l «arrêt Anton Pilar») permet à des acteurs privés, tels que les détenteurs de droits de propriété intellectuelle, d effectuer des demandes de renseignements, y compris des perquisitions. Afin d établir le lien entre les infractions présumées et les utilisateurs responsables et de compléter le profil de l utilisateur, les détenteurs des droits tentent d utiliser les registres publics, tels que les bases de données «Whois» où sont conservées des informations à caractère personnel sur les personnes ayant enregistré un nom de domaine. Ces bases contiennent en particulier des informations sur le nom du point de contact pour le nom de domaine, y compris le numéro de téléphone, l adresse de courriel et d autres données à caractère personnel. Certaines informations sont accessibles directement en ligne, alors que d autres données sont conservées hors ligne et doivent donc être demandées au responsable de la base de données. Enfin, le groupe de travail constate que, considérant que la collecte d informations à caractère personnel par les détenteurs de droits est régie par les principes de protection des données, on assiste dans plusieurs pays à des discussions avec les parties prenantes, afin de donner à celles-ci plus de flexibilité dans le traitement des données à caractère personnel. Dans ce contexte, la législation française en matière de protection des données inclut désormais, par exemple, une dérogation destinée spécifiquement à permettre le traitement de données judiciaires par des détenteurs de droits spécifiques définis par la loi 5, dans certaines conditions et sous réserve de l autorisation préalable de l autorité française chargée de la protection des données 6. 3 Alors qu il y a quelques années, de nombreux utilisateurs se voyaient encore attribuer une adresse dynamique qui changeait à chaque connexion à Internet, le développement des connexions par le câble ou l ADSL s accompagne de l attribution aux utilisateurs d une adresse IP permanente. Dans le cas d une adresse IP permanente, qui devrait devenir la règle avec le développement du nouveau protocole IPv6, le traçage des internautes deviendra même encore plus facile (voir à ce propos l avis 2/2002 du groupe de travail du 30 mai 2002 relatif à l'utilisation d'identifiants uniques dans les terminaux de télécommunication: exemple de l'ipv6, WP 58, 10750/02/FR). 4 Les détenteurs des droits d auteur ont basé leur requête sur la section 512 du «Digital Millennium Copyright Act», sur les «limitations de responsabilité concernant le matériel en ligne». Selon ces dispositions, tout détenteur de droits d auteur ou son représentant peut demander à un auxiliaire de justice d un tribunal fédéral d adresser une injonction à un fournisseur d accès afin que celui-ci fournisse l identité d un utilisateur soupçonné d activités enfreignant le droit d auteur. Cette procédure est relativement souple, car elle permet d obtenir des données à caractère personnel sur l utilisateur sans engager toute une action en justice. 5 La dérogation s applique aux personnes morales énumérées de manière exhaustive aux articles L321-1 et L331-1 du Code de la propriété intellectuelle, ayant pour objet la défense des intérêts des détenteurs de droits. 6 La CNIL devra préciser la qualité des informations judiciaires incluses dans les fichiers ainsi que la durée de leur conservation. Elle devra également s assurer qu un tel traitement est adéquat au regard de ce qui est strictement nécessaire pour lutter contre la contrefaçon (Décision n 2004-499 DC du Conseil constitutionnel, 29 juillet 2004). Il 4

Le groupe de travail considère donc nécessaire, dans ce contexte en pleine mutation, de rappeler les grands principes de la protection des données et leur champ d'application dans le cadre de la gestion des droits numériques et du respect du droit d auteur. II. Gestion des droits de propriété intellectuelle L objectif légitime poursuivi par les détenteurs de droits, qui est d empêcher l'utilisation abusive d'informations protégées, aboutit souvent au traçage des utilisateurs et à l analyse de leurs préférences. En particulier, l utilisation d identifiants uniques combinée aux informations à caractère personnel collectées conduit au traitement de données à caractère personnel détaillées. La directive 95/46/CE relative à la protection des données à caractère personnel établit plusieurs principes que doit respecter tout détenteur de droits dans le cas d un traitement de données à caractère personnel. L article 2, paragraphe 3, point a), de la directive 2004/48/CE relative au respect des droits de propriété intellectuelle a confirmé le principe selon lequel la directive 2004/48/CE ne porte pas préjudice à la directive 95/46/CE et, par conséquent, à l application des principes de la protection des données. Dans le présent document, l accent sera mis sur le principe de nécessité et le besoin d un accès anonyme aux services en réseau, le principe de transparence, la compatibilité de la finalité et le stockage limité des données. Principes de nécessité et d anonymat Le groupe de travail réaffirme la nécessité de permettre des transactions anonymes ou avec pseudonyme sur Internet. Ce principe a été formulé à plusieurs reprises 7 par le groupe de travail depuis sa recommandation concernant «l anonymat sur l Internet» adopté le 3 décembre 1997, dans laquelle il avait déjà indiqué que le traitement des données à caractère personnel sur Internet devait respecter les principes de protection des données comme dans le monde hors ligne. «Les utilisateurs doivent avoir la possibilité d accéder à Internet sans avoir à révéler leur identité, dans les cas où les données à caractère personnel ne sont pas nécessaires pour fournir un service donné» 8. Ce principe est justifié par le principe de nécessité énoncé à l article 6, paragraphe 1, point c), de la directive sur la protection des données, selon lequel les données à caractère personnel doivent être adéquates, pertinentes et non excessives au regard des finalités pour lesquelles elles sont collectées et pour lesquelles elles sont traitées ultérieurement. Dans cette perspective, le groupe de travail souligne que, lorsque les technologies DRM sont utilisées pour protéger des informations spécifiques, il convient d utiliser des outils préservant l anonymat de l utilisateur. Il faudrait donc accorder une attention plus grande aux technologies améliorant le respect de la vie privée lors du développement de ces nouveaux outils. Utilisation d identifiants uniques convient également de noter que, selon le Conseil constitutionnel, l identification des utilisateurs par leur adresse IP ne peut être autorisée que dans le cadre d une procédure judiciaire. 7 Recommandation 3/97, «L anonymat sur l Internet», adoptée le 3.12.1997; Document de travail: «Traitement des données à caractère personnel sur l Internet», adopté par le groupe de travail le 23 février 1999, WP 16, 5013/99/FR/final; Recommandation 1/99, sur le traitement invisible et automatique des données à caractère personnel sur l'internet effectué par des moyens logiciels et matériels, adoptée par le groupe de travail le 23 février 1999, 5093/98/FR/final, WP 17. 8 Groupe de travail international sur la protection des données dans le secteur des télécommunications, op. cit., p. 2. 5

L utilisation d identifiants uniques permet l interconnexion des données relatives à un individu donné et facilite l établissement de son profil. Dans le cadre de la gestion des droits numériques, ils permettent l établissement du profil de l utilisateur sur la base de la qualité et de la quantité des documents qu il consulte. Par exemple, une société proposant en ligne un contenu protégé pourra suivre la circulation de documents marqués d un filigrane (qui utilisent des identifiants uniques) sur des réseaux pair à pair et identifier l utilisateur à l origine du téléchargement licite ainsi que les utilisations ultérieures illicites présumées de ce document. L industrie phonographique ou cinématographique aurait également la possibilité de suivre l utilisation par ses salariés d informations protégées mises à leur disposition, sur leur lieu de travail. Le groupe de travail s interroge sérieusement sur l utilisation des identifiants pour tracer «a priori» chaque utilisateur, dans le but de pouvoir se retourner vers un individu spécifique en cas d atteinte présumée au droit d auteur. Le marquage d un document ne devrait pas être associé à une personne, sauf si ce lien est nécessaire pour la prestation du service ou si la personne en a été informée et a donné son consentement en ce sens. Information de la personne concernée Comme l a indiqué le groupe de travail international sur les télécommunications, il conviendrait d assurer la plus grande transparence possible dans le fonctionnement du système de gestion des droits d auteur. Conformément à l article 10 de la directive 95/46/CE, aucune information sur les personnes concernées ne peut être collectée sans que celles-ci soient informées de plusieurs éléments et notamment de l identité du responsable du traitement, des finalités du traitement, des destinataires ou catégories de destinataires des données et de l'existence d'un droit d'accès et de rectification des données. Ces informations doivent être affichées de façon visible avant que l'utilisateur ne fournisse effectivement des données à caractère personnel ou qu il ne commence à télécharger des informations marquées 9. Conformité au principe de limitation à une finalité spécifique (compatibilité) Toute donnée à caractère personnel collectée auprès de l utilisateur sur une base volontaire ou parce qu elle est nécessaire pour la prestation du service devrait être uniquement utilisée en conformité avec la finalité indiquée, comme cela est prévu à l article 6, paragraphe 1, point b), de la directive. En effet, il est interdit, par exemple, de collecter le nom et l adresse de l utilisateur lors d un paiement par carte de crédit et de les utiliser à des fins de marketing, après les avoir combinés avec les préférences de l utilisateur déterminées grâce aux informations marquées téléchargées. Conformément à l article 13 de la directive «vie privé et communications électroniques», l utilisateur doit être clairement informé et avoir le choix d accepter un tel profilage et marketing de ses données. Le même principe s applique pour tout autre transfert de données envisagé vers des tiers. En outre, le groupe de travail souligne que la collecte d informations relatives aux habitudes de consommation peut conduire au traitement de données sensibles, si le profil des personnes concernées est établi sur la base de la nature des informations consultées (téléchargement d un livre abordant des questions religieuses ou politiques, par exemple). Un tel traitement pourrait uniquement se dérouler en stricte conformité avec les dispositions de la directive 95/46/CE. Stockage limité des données à caractère personnel 9 Voir la recommandation 2/2001 concernant certaines exigences minimales pour la collecte en ligne de données à caractère personnel dans l'union européenne, 5020/01/FR/Final, WP 43, adoptée le 17 mai 2001. 6

Comme indiqué à l article 6, paragraphe 1, point e), de la directive 95/46/CE, les données à caractère personnel doivent être conservées sous une forme permettant l'identification des personnes concernées pendant une durée n'excédant pas celle nécessaire à la réalisation des finalités pour lesquelles elles sont collectées ou pour lesquelles elles sont traitées ultérieurement. Toute donnée à caractère personnel collectée lors de la fourniture d un produit ou service protégé doit donc être effacée dès qu elle n est plus nécessaire à des fins de facturation ou à toute autre fin reconnue par l utilisateur, telle que le maintien d une relation commerciale. Conserver systématiquement toutes les données d'utilisateurs uniquement dans l éventualité d une utilisation abusive présumée d informations soumises à droit d auteur par un utilisateur spécifique ne serait pas conforme à ce principe. III. Étendue des compétences d enquête Outre le développement de la protection technique par le marquage et le traçage des documents soumis à droit d auteur, les détenteurs de droits d auteur engagent depuis quelques années des actions visant à poursuivre plus spécifiquement les individus soupçonnés d atteinte au droit d'auteur. Ces actions impliquent la collecte d informations sur les utilisateurs soupçonnés, par différents moyens et à l aide de diverses informations disponibles publiquement ou non, comme décrit au paragraphe I b. La légitimité d un tel traitement des informations est certes incontestable dans le cadre d un litige touchant la personne concernée, mais les méthodes de collecte et la nature des données collectées sont régies par les principes de protection des données suivants. Principe de compatibilité Les détenteurs de droits basent principalement leur recherche sur l établissement de faits disponibles en ligne, comme l affichage de documents protégés par droit d auteur dans des réseaux pair à pair. On y trouve des données telles que la date et l'heure de l infraction présumée, la nature du document protégé ainsi que des identifiants indirects, comme les pseudonymes de l auteur de l infraction présumée. La tentation est alors grande de compléter les informations personnelles ainsi collectées par d autres renseignements pouvant être trouvés avec l aide des fournisseurs d accès ou dans d autres bases de données, comme la base Whois qui compile des informations sur les détenteurs de noms de domaine. Le groupe de travail insiste sur les restrictions légales s appliquant à la réutilisation d informations personnelles. Les données figurant dans des bases, qu elles soient publiques ou non, ne peuvent être traitées et utilisées ultérieurement que pour une finalité compatible avec celle pour laquelle elles ont été initialement collectées. En ce qui concerne la base de données Whois, le groupe de travail a déjà souligné dans son avis du 13 juin 2003 10 que, «du point de vue de la protection des données, il est essentiel de déterminer très explicitement la finalité première du système «Whois» ainsi que la ou les finalité(s) pouvant être considérée(s) comme légitime(s) et compatible(s) avec cette finalité première. [ ] Il s agit là d un point extrêmement délicat dans la mesure où la finalité des annuaires «Whois» ne peut s étendre à d autres finalités simplement parce que celles-ci sont considérées souhaitables par certains utilisateurs potentiels de ces annuaires. L une des finalités pouvant découler de problèmes de protection (compatibilité) des données serait par exemple l utilisation des données par des acteurs du secteur public appelés à «gendarmer» eux-mêmes en 10 Avis 2/2003 concernant l'application des principes de protection des données aux annuaires «Whois», 10972/03/FR final, WP 76. 7

raison de violations présumées de leurs droits, notamment dans le domaine de la gestion des droits numériques.» Sur la base du principe de compatibilité et en conformité avec le principe de confidentialité établi dans les directives 2002/58/CE et 95/46/CE, les données détenues par les fournisseurs d accès à Internet pour des finalités spécifiques, incluant principalement la prestation d un service de télécommunication, ne peuvent être transférées à des tiers, tels que les détenteurs de droits, hormis, dans des circonstances définies prévues par la loi, à des autorités judiciaires publiques. Rôle des fournisseurs d accès à Internet Le groupe de travail rappelle qu aucune obligation systématique de surveillance et de collaboration ne peut être imposée aux fournisseurs d accès, conformément à l article 15 de la directive 2000/31/CE sur le commerce électronique. Les fournisseurs d accès ne peuvent pas non plus être obligés, sauf dans des cas spécifiques où il existe une injonction des autorités judiciaires, de prévoir un stockage systématique «a priori» de toutes les données de trafic liées aux droits d auteur. Le groupe de travail a indiqué à plusieurs reprises 11 que, «lorsque des données de trafic doivent être conservées, [l]a nécessité doit être démontrée, la période de conservation doit être aussi courte que possible et cette pratique doit être clairement établie par la loi, de façon à prévenir tout accès illégal ou tout autre forme d abus.» Traitement des données judiciaires Comme indiqué à l article 8 de la directive sur la protection des données, le traitement de données relatives aux infractions, aux condamnations pénales ou aux mesures de sûreté ne peut être effectué que dans des conditions strictes, telles que prévues par les États membres. Même si tout individu a naturellement le droit d exploiter des données judiciaires dans le cadre de litiges le concernant, le principe ne va pas jusqu à permettre l'examen approfondi, la collecte et la centralisation de données à caractère personnel par des tiers, y compris, notamment, la recherche systématique à grande échelle, comme le balayage d Internet ou la demande de communication de données personnelles détenues par d autres acteurs, tels que les fournisseurs d accès ou les contrôleurs des annuaires Whois. De telles enquêtes sont de la compétence des autorités judiciaires. À cet égard, le groupe de travail constate que la récente directive 2004/48/CE du 28 avril 2004 relative au respect des droits de propriété intellectuelle établit les conditions dans lesquelles les autorités judiciaires doivent demander des données à caractère personnel. Ces autorités peuvent ordonner, sur demande justifiée et proportionnée, la communication d informations sur l'origine et les réseaux de distribution des marchandises ou des services qui portent atteinte à un droit de propriété intellectuelle, lorsque cette atteinte présente une échelle commerciale et sans préjudice des principes relatifs à la confidentialité des sources d'information et du traitement des données à caractère personnel. Un juste équilibre doit être trouvé entre les intérêts légitimes des détenteurs de droits d auteur et des individus concernés. Les critères de l avantage commercial lié à l infraction peuvent être déterminants à cet égard. 4. Conclusion Le groupe de travail est préoccupé par le fait que l utilisation légitime de technologies en vue de protéger les œuvres pourrait se faire au détriment de la protection des données à caractère 11 Voir, par exemple, l avis 5/2002 sur la Déclaration des Commissaires européens à la protection des données adoptée lors de la conférence internationale de Cardiff du 9-11 septembre 2002, relative à la conservation systématique et obligatoire des données de trafic des télécommunications, adopté le 11 octobre 2002, 11818/02/FR/Final, WP 64. 8

personnel des individus. Pour ce qui est de l'application des principes de protection des données à la gestion des droits numériques, il a observé un écart croissant entre la protection des personnes dans les mondes hors ligne et en ligne, surtout lorsque l on considère le traçage et profilage généralisé des individus. Le groupe de travail appelle à un développement d'outils techniques offrant des propriétés respectant la vie privée et, plus généralement, à une utilisation transparente et limitée des identifiants uniques, laissant une possibilité de choix à l utilisateur. En ce qui concerne les compétences d enquête, le groupe de travail estime nécessaire de rappeler que les enquêtes effectuées par des acteurs privés, tels que les détenteurs de droits d auteur, doivent être réalisées dans un cadre juridique clair suivant les principes exposés plus haut, notamment en ce qui concerne les informations pouvant être légalement collectées et les pouvoirs d application pouvant être attribués à ces acteurs. Fait à Bruxelles, le 18 janvier 2005 Pour le groupe de travail Le président Peter SCHAAR 9

2026 © DocPlayer.fr Politique de confidentialité | Conditions de service | Feed-back