La Commission nationale de l’informatique et des libertés,

Saisie par ministère de la culture d’une demande d’avis concernant un projet de décret modifiant le

décret n° 2010-236 du 5 mars 2010

relatif au traitement automatisé de données à caractère personnel autorisé par l’

article L. 331-29 du code de la propriété intellectuelle

dénommé « Système de gestion des mesures pour la protection des œuvres sur Internet » ;

Vu le règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données, ci-après « RGPD ») ;

Vu le

code de la propriété intellectuelle

, notamment son article L. 331-29 ;

Vu la

loi n° 78-17 du 6 janvier 1978

modifiée relative à l’informatique, aux fichiers et aux libertés ;

Vu la

loi n° 2021-1382 du 25 octobre 2021

relative à la régulation et à la protection de l’accès aux œuvres culturelles à l’ère numérique ;

Vu le

décret n° 2010-236 du 5 mars 2010

relatif au traitement automatisé de données à caractère personnel autorisé par l’

article L. 331-29 du code de la propriété intellectuelle

dénommé « Système de gestion des mesures pour la protection des œuvres sur Internet » ;

Article

Après avoir entendu le rapport de Mme Aminata NIAKATÉ, commissaire, et les observations de M. Benjamin TOUZANNE, commissaire du Gouvernement,

Etant rappelés les éléments de contexte suivants :

La

loi n° 2009-669 du 12 juin 2009

favorisant la diffusion et la protection de la création sur Internet a abouti à la création de la Haute Autorité pour la diffusion des œuvres et la protection des droits sur Internet (HADOPI).

C’est la commission de protection des droits, au sein de la HADOPI, qui met en œuvre la procédure dite de la « réponse graduée » : elle est chargée d’envoyer aux abonnés à Internet concernés une recommandation lorsqu’elle est saisie de faits susceptibles de constituer un manquement à l’obligation faite à tout abonné de veiller à l’usage licite de son accès à Internet. En cas de récidive dans les six mois, une nouvelle recommandation est envoyée.

A cette fin, la HADOPI est autorisée, aux

termes de l’article L. 331-29 du code de la propriété intellectuelle

, à créer un traitement automatisé de données à caractère personnel portant sur les personnes faisant l’objet de la procédure de la réponse graduée.

Le

décret n° 2010-236 du 5 mars 2010

fixe ainsi les modalités d’application de ce traitement automatisé dénommé « Système de gestion des mesures pour la protection des œuvres sur Internet » et prévoit sa mise en œuvre par la commission de protection des droits.

La Commission relève que plusieurs associations ont demandé au Conseil d’Etat l’abrogation de ce décret. Par décision n° 433539 du 5 juillet 2021, le Conseil d’Etat a considéré que les requérantes ne sont pas fondées à soutenir que le décret se trouve privé de base légale. Il a toutefois sursis à statuer jusqu’à ce que la Cour de justice de l’Union européenne se soit prononcée sur le point de savoir, notamment, si la directive européenne du 12 juillet 2002 concernant le traitement des données à caractère personnel et la protection de la vie privée dans le secteur des communications électroniques impose à la HADOPI d’obtenir, avant toute demande de données à caractère personnel aux fournisseurs d’accès à Internet, l’autorisation d’une juridiction ou d’une entité administrative indépendante.

La

loi n° 2021-1382 du 25 octobre 2021

relative à la régulation et à la protection de l’accès aux œuvres culturelles à l’ère numérique a créé l’Autorité de régulation de la communication audiovisuelle et numérique (ARCOM), fusion du Conseil supérieur de l’audiovisuel (CSA) et de la HADOPI.

La disparition de la HADOPI et la création de l’ARCOM à compter du 1er janvier 2022 emporte notamment des conséquences quant à la mise en œuvre de la procédure de la réponse graduée. C’est dans ce contexte que le ministère de la culture a saisi la Commission d’une demande d’avis relative à un projet de décret modifiant le

décret n° 2010-236 du 5 mars 2010

.

Emet l’avis suivant sur :

L’économie générale du projet de décret :

Sur la prise en compte d’une nouvelle modalité de saisine de l’ARCOM :

L’article 1er de la loi du 25 octobre 2021 prévoit une nouvelle modalité de saisine de l’ARCOM sur la base d’un constat d’huissier établi à la demande d’un ayant droit.

En conséquence, l’article 9 du projet de décret prévoit que les données à caractère personnel et informations provenant des constats d’huissier pourront désormais être enregistrées (en sus des données provenant des organismes de défense professionnelle régulièrement constitués, des organismes de gestion collective, du Centre national du cinéma et de l’image animée ainsi que celles provenant du procureur de la République).

Cette modification n’appelle pas d’observations.

Sur les délais d’effacement des données à caractère personnel et informations figurant en annexe du décret du 5 mars 2010 :

Au vu de l’allongement de six mois du délai de saisine de l’ARCOM par le procureur de la République, l’article 4 du projet de décret prévoit d’allonger les délais d’effacement des données qui passent de :

– quatorze à vingt mois, après la date de l’envoi d’une recommandation prévue au

premier alinéa de l’article L. 331-25 du code de la propriété intellectuelle

dans le cas où n’est pas intervenue, dans ce délai, la présentation au même abonné d’une nouvelle recommandation prévue au deuxième alinéa du même article ;

– vingt et un à vingt-sept mois, après la date de présentation de la lettre remise contre signature ou de tout autre moyen propre à établir la preuve de la date de présentation de la recommandation prévue au

deuxième alinéa de l’article L. 331-25 du code de la propriété intellectuelle

si la commission de protection des droits n’a pas transmis au parquet territorialement compétent une procédure en application de l’

article R. 331-43 du code de la propriété intellectuelle

.

L’article 4 du projet de décret prévoit également d’allonger d’un an le délai d’effacement des données après la transmission des dossiers par l’ARCOM au procureur de la République, en raison du temps de traitement des procédures par l’autorité judiciaire.

Au vu des précisions apportées par le ministère, la Commission considère que les données collectées sont conservées pendant une durée qui n’excède pas la durée nécessaire compte tenu des finalités pour lesquelles elles sont collectées et traitées, conformément à l’article 5-1-e du RGPD.

Sur l’ajout du « port source » parmi les données pouvant être enregistrées :

L’article 9 du projet de décret vise à ajouter le « port source » parmi les données pouvant être enregistrées par l’ARCOM dans le traitement « Système de gestion des mesures pour la protection des œuvres sur Internet ».

La Commission avait déjà été saisie d’une demande d’avis sur un projet de décret visant à ajouter le « port source » parmi les données pouvant être enregistrées par la HADOPI dans le traitement de la procédure de réponse graduée. Dans le cadre de sa délibération n° 2020-132 du 17 décembre 2020, elle avait considéré qu’il s’agissait d’une adaptation technique permettant le fonctionnement de la procédure de réponse graduée.

Sur la suppression de la possibilité d’enregistrer les données à caractère personnel et informations relatives à l’abonné recueillies auprès des prestataires mentionnés aux 1 et 2 du I de l’article 6 de la loi du 21 juin 2004 pour la confiance dans l’économie numérique (LCEN) :

Le projet de décret supprime la possibilité d’enregistrer les données relatives à l’abonné recueillies auprès des prestataires mentionnés par la LCEN.

La Commission relève que cette modification résulte de la décision n° 2020-841 QPC du 20 mai 2020 du Conseil constitutionnel qui a notamment jugé contraire à la Constitution le

troisième alinéa de l’article L. 331-21 du code de la propriété intellectuelle

qui permettait l’obtention de « tous documents, quel qu’en soit le support, y compris les données conservées et traitées par […] les prestataires mentionnés aux

1 et 2 du I de l’article 6 de la loi n° 2004-575 du 21 juin 2004

pour la confiance dans l’économie numérique ».

Les conditions de mise en œuvre du traitement :

L’

article 1er du décret n° 2010-236 du 5 mars 2010

est modifié afin de prévoir que le membre de l’ARCOM désigné en application du

IV de l’article 4 de la loi n° 86-1067 du 30 septembre 1986

relative à la liberté de communication met en œuvre le « Système de gestion des mesures pour la protection des œuvres sur Internet » en lieu et place de la commission de protection des droits de la HADOPI.

Cette modification résulte de

loi n° 2021-1382 du 25 octobre 2021

qui prévoit que l’ARCOM désigne, en dehors de leur présence, celui des deux membres en activité du Conseil d’Etat et de la Cour de cassation, qui exerce, pendant la première moitié de son mandat, la mission relative à la réponse graduée. L’autre membre, qui le supplée dans l’exercice de cette mission, lui succède pour exercer cette mission pendant la deuxième partie de son mandat.

La Commission relève qu’aux

termes de l’article L. 331-23 du code de la propriété intellectuelle

, dans sa rédaction issue de la

loi n° 2021-1382 du 25 octobre 2021

, l’ARCOM est autorisée à créer le traitement. Elle souligne également que le législateur a confié à l’ARCOM la mission de protection des œuvres et des objets auxquels sont attachés un droit d’auteur, et/ou un droit voisin. En application de l’

article L. 331-12 du code de la propriété intellectuelle

dans sa version en vigueur à compter du 1er janvier 2022, il appartient notamment à l’ARCOM de prendre toute mesure susceptible de remédier aux atteintes au droit d’auteur et aux droits voisins.

Au regard de ces éléments, il apparaît que l’ARCOM détermine, seule, les finalités et les moyens du traitement nécessaire afin d’assurer le mécanisme de « réponse graduée », encadré par la loi du 25 octobre 2021 et le décret du 5 mars 2010.

La Commission rappelle que les conditions de mise en œuvre d’un traitement ne se confondent pas avec la détermination de ses finalités et de ses moyens. Ainsi, le fait que le « Système de gestion des mesures pour la protection des œuvres sur Internet » soit mis en œuvre par un membre de l’ARCOM, et que le droit d’accès s’exerce auprès lui, ne modifient pas la qualité de responsable de traitement de l’ARCOM au sens de l’article 4 du RGPD.

Liens relatifs

Liens relatifs

La présidente,

M.-L. Denis

Extrait du Journal officiel électronique authentifié

PDF –
220,7 Ko